Menetlus : 2017/0225(COD)
Menetluse etapid istungitel
Dokumendi valik : A8-0264/2018

Esitatud tekstid :

A8-0264/2018

Arutelud :

PV 11/03/2019 - 19
CRE 11/03/2019 - 19

Hääletused :

PV 12/03/2019 - 9.17
Selgitused hääletuse kohta

Vastuvõetud tekstid :

P8_TA(2019)0151

RAPORT     ***I
PDF 1802kWORD 300k
30.7.2018
PE 619.373v03-00 A8-0264/2018

ettepaneku kohta võtta vastu Euroopa Parlamendi ja nõukogu määrus, mis käsitleb ENISAt ehk ELi küberturvalisuse ametit, millega tunnistatakse kehtetuks määrus (EL) nr 526/2013 ja mis käsitleb info- ja kommunikatsioonitehnoloogia küberturvalisuse sertifitseerimist („küberturvalisust käsitlev õigusakt“)

(COM(2017)0477 – C8-0310/2017 – 2017/0225(COD))

Tööstuse, teadusuuringute ja energeetikakomisjon

Raportöör: Angelika Niebler

Arvamuse koostaja (*):

Nicola Danti, siseturu- ja tarbijakaitsekomisjon

(*) Kaasatud komisjon – kodukorra artikkel 54

MUUDATUSED
EUROOPA PARLAMENDI SEADUSANDLIKU RESOLUTSIOONI PROJEKT
 SELETUSKIRI
 SISETURU- JA TARBIJAKAITSEKOMISJONI ARVAMUS
 EELARVEKOMISJONI ARVAMUS
 KODANIKUVABADUSTE, JUSTIITS- JA SISEASJADE KOMISJONI ARVAMUS
 VASTUTAVA KOMISJONI MENETLUS
 NIMELINE LÕPPHÄÄLETUS VASTUTAVAS KOMISJONIS

EUROOPA PARLAMENDI SEADUSANDLIKU RESOLUTSIOONI PROJEKT

ettepaneku kohta võtta vastu Euroopa Parlamendi ja nõukogu määrus, mis käsitleb ENISAt ehk ELi küberturvalisuse ametit, millega tunnistatakse kehtetuks määrus (EL) nr 526/2013 ja mis käsitleb info- ja kommunikatsioonitehnoloogia küberturvalisuse sertifitseerimist („küberturvalisust käsitlev õigusakt“)

(COM(2017)0477 – C8-0310/2017 – 2017/0225(COD))

(Seadusandlik tavamenetlus: esimene lugemine)

Euroopa Parlament,

–  võttes arvesse komisjoni ettepanekut Euroopa Parlamendile ja nõukogule (COM(2017)0477),

–  võttes arvesse Euroopa Liidu toimimise lepingu artikli 294 lõiget 2 ja artiklit 114, mille alusel komisjon esitas ettepaneku Euroopa Parlamendile (C8-0310/2017),

–  võttes arvesse Euroopa Liidu toimimise lepingu artikli 294 lõiget 3,

–  võttes arvesse Euroopa Majandus- ja Sotsiaalkomitee 14. veebruari 2018. aasta arvamust,(1)

–  võttes arvesse kodukorra artiklit 59,

–   võttes arvesse Prantsusmaa Senati poolt subsidiaarsuse ja proportsionaalsuse põhimõtete kohaldamist käsitleva protokolli nr 2 alusel esitatud põhjendatud arvamust, mille kohaselt õigusakti eelnõu ei vasta subsidiaarsuse põhimõttele,

–  võttes arvesse tööstuse, teadusuuringute ja energeetikakomisjoni raportit ning siseturu- ja tarbijakaitsekomisjoni, eelarvekomisjoni ning kodanikuvabaduste, justiits- ja siseasjade komisjoni arvamusi (A8-0264/2018),

1.  võtab vastu allpool toodud esimese lugemise seisukoha;

2.  palub komisjonil ettepaneku uuesti Euroopa Parlamendile saata, kui komisjon asendab oma ettepaneku, muudab seda oluliselt või kavatseb seda oluliselt muuta;

3.  teeb presidendile ülesandeks edastada Euroopa Parlamendi seisukoht nõukogule ja komisjonile ning liikmesriikide parlamentidele.

Muudatusettepanek    1

Ettepanek võtta vastu määrus

Põhjendus 1

Komisjoni ettepanek

Muudatusettepanek

(1)  Võrgu- ja infosüsteemidel ning telekommunikatsioonivõrkudel ja -teenustel on ühiskonnas elutähtis roll ning neist on saanud majanduskasvu tugisammas. Info- ja kommunikatsioonitehnoloogia on aluseks keerukatele süsteemidele, millele toetub ühiskondlik tegevus, mis tagavad majanduse toimimise võtmetähtsusega sektorites nagu tervishoid, energeetika, rahandus ja transport ning mis toetavad ennekõike siseturu toimimist.

(1)  Võrgu- ja infosüsteemidel ning telekommunikatsioonivõrkudel ja -teenustel on ühiskonnas elutähtis roll ning neist on saanud majanduskasvu tugisammas. Info- ja kommunikatsioonitehnoloogia (IKT) on aluseks keerukatele süsteemidele, millele toetub ühiskonna igapäevane toimimine, mis tagavad majanduse toimimise võtmetähtsusega sektorites nagu tervishoid, energeetika, rahandus ja transport ning mis toetavad ennekõike siseturu toimimist.

Muudatusettepanek    2

Ettepanek võtta vastu määrus

Põhjendus 2

Komisjoni ettepanek

Muudatusettepanek

(2)  Võrgu- ja infosüsteemide kasutamine kogu liidu kodanike, ettevõtjate ja valitsusasutuste seas on nüüd valdav. Digiteeritus ja ühenduvus on muutumas üha suurema hulga toodete ja teenuste põhitunnusteks ning asjade interneti kasutuselevõtuga võib eeldada, et järgmise kümne aasta jooksul võetakse kogu ELis kasutusele miljoneid kui mitte miljardeid ühendatud digitaalseid seadmeid. Kuigi internetti ühendatud seadmete arv kasvab, ei ole turvalisus ja vastupidavus neisse piisavalt sisse projekteeritud ning see toob kaasa ebapiisava küberturvalisuse. Sellises olukorras tähendab sertifitseerimise piiratud kasutamine, et organisatsioonidest ja eraisikutest kasutajatel ei ole IKT toodete ja teenuste küberturvalisuse omaduste kohta piisavalt teavet ning see vähendab usaldust digilahenduste vastu.

(2)  Võrgu- ja infosüsteemide kasutamine kogu liidu kodanike, ettevõtjate ja valitsusasutuste seas on nüüd valdav. Digiteeritus ja ühenduvus on muutumas üha suurema hulga toodete ja teenuste põhitunnusteks ning asjade interneti kasutuselevõtuga võib eeldada, et järgmise kümne aasta jooksul võetakse kogu ELis kasutusele miljoneid kui mitte miljardeid ühendatud digitaalseid seadmeid. Kuigi internetti ühendatud seadmete arv kasvab, ei ole turvalisus ja vastupidavus neisse piisavalt sisse projekteeritud ning see toob kaasa ebapiisava küberturvalisuse. Sellises olukorras tähendab sertifitseerimise piiratud kasutamine, et organisatsioonidest ja eraisikutest kasutajatel ei ole IKT toodete, protsesside ja teenuste küberturvalisuse omaduste kohta piisavalt teavet ning see vähendab usaldust digilahenduste vastu. See püüdlus on digitaalse ühtse turu saavutamist käsitleva komisjoni reformikava keskmes, kuna IKT võrgud on aluseks digitaalsetele toodetele ja teenustele, mis võivad toetada meie elu kõiki aspekte ja edendada Euroopa majanduskasvu. Digitaalse ühtse turu eesmärkide täieliku saavutamise tagamiseks peavad paigas olema olulised tehnoloogilised ehitusplokid, millele tuginevad tähtsad valdkonnad, nagu e-tervis, asjade internet, tehisintellekt ja kvanttehnoloogia, samuti intelligentne transpordisüsteem ja kõrgtehnoloogilised tootmissüsteemid.

Muudatusettepanek    3

Ettepanek võtta vastu määrus

Põhjendus 3

Komisjoni ettepanek

Muudatusettepanek

(3)  Ulatuslikum digiteerimine ja ühenduvus toovad kaasa suuremad küberturvalisuse riskid, mille tõttu on kogu ühiskond küberohtude poolt lihtsamini haavatav ning üksikisikute, sh haavatavate isikute (nt laste) vastu suunatud ohud tulevad selgemalt esile. Et seda ühiskonna vastu suunatud riski leevendada, tuleb võtta kõik vajalikud meetmed, et parandada ELis küberturvalisust ning pakkuda küberohtude eest paremat kaitset võrgu- ja infosüsteemidele, telekommunikatsioonivõrkudele, digitaalsetele toodetele, teenustele ja seadmetele, mida kasutavad kodanikud, valitsused ja ettevõtjad alates VKEdest kuni elutähtsate taristute operaatoriteni.

(3)  Ulatuslikum digiteerimine ja ühenduvus toovad kaasa suuremad küberturvalisuse riskid, mille tõttu on kogu ühiskond küberohtude poolt lihtsamini haavatav ning üksikisikute, sh haavatavate isikute (nt laste) vastu suunatud ohud tulevad selgemalt esile. Et seda ühiskonna vastu suunatud riski leevendada, tuleb võtta kõik vajalikud meetmed, et parandada ELis küberturvalisust ning pakkuda küberohtude eest paremat kaitset võrgu- ja infosüsteemidele, telekommunikatsioonivõrkudele, digitaalsetele toodetele, teenustele ja seadmetele, mida kasutavad kodanikud, valitsused ja ettevõtjad alates VKEdest kuni elutähtsate taristute operaatoriteni. Sellega seoses on 17. jaanuaril 2018 Euroopa Komisjoni poolt avaldatud digiõppe tegevuskava samm õiges suunas, eelkõige kogu ELi hõlmav õpetajatele, lapsevanematele ja õppuritele suunatud teadlikkuse suurendamise kampaania, et edendada võrgukeskkonna turvalisust, küberhügieeni ja meediapädevust, ning küberturvalisuse õpetamise algatus, mis lähtub Euroopa kodanike digipädevuse raamistikust, et võimaldada inimestel kasutada tehnoloogiat enesekindlalt ja vastutustundlikult.

Muudatusettepanek    4

Ettepanek võtta vastu määrus

Põhjendus 3 a (uus)

Komisjoni ettepanek

Muudatusettepanek

 

(3 a)  Usub, et ENISA eesmärgid ja ülesanded tuleks viia paremini kooskõlla ühisteatisega, võttes arvesse selles sisalduvat viidet küberhügieeni ja -teadlikkuse edendamisele; märgib, et kübervastupidavusvõimet on võimalik saavutada küberhügieeni aluspõhimõtete rakendamise abil;

Muudatusettepanek    5

Ettepanek võtta vastu määrus

Põhjendus 3 b (uus)

Komisjoni ettepanek

Muudatusettepanek

 

(3 b)  ENISA peaks pakkuma rohkem teabepõhist ja praktilist tuge ELi küberjulgeolekutööstusele, eelkõige VKEdele ja idufirmadele, kes on küberkaitse valdkonnas peamised uuenduslike lahenduste loojad, ning peaks edendama tihedamat koostööd ülikoolide teadusorganisatsioonide ja suurte osalejatega, et vähendada sõltuvust liiduväliste tootjate küberjulgeolekutoodetest ja luua liidus strateegiline tarneahel.

Muudatusettepanek    6

Ettepanek võtta vastu määrus

Põhjendus 4

Komisjoni ettepanek

Muudatusettepanek

(4)  Küberründeid tuleb ette üha sagedamini ning küberohtude poolt lihtsamini haavatavat ühendatud majandust ja ühiskonda tuleb jõulisemalt kaitsta. Kuigi küberründed on sageli piiriülesed, on küberturvalisusega tegelevate ametiasutuste reageeringud ja õiguskaitseasutuste pädevus valdavalt riigipõhised. Mastaapsed küberintsidendid võivad katkestada elutähtsate teenuste pakkumise kogu ELis. See tähendab, et ELi tasandil on vaja tõhusat reageerimist ja kriisihaldust, mis tugineks sellekohastele põhimõtetele ning Euroopa solidaarsuse ja vastastikuse abi mitmekülgsetele vahenditele. Seepärast on usaldusväärsetel liidu andmetel põhinev liidu küberturvalisuse ja vastupidavuse olukorra regulaarne hindamine ning nii liidu kui ka maailma tasandi edasiste arengusuundade, väljakutsete ja ohtude süstemaatiline hindamine tähtis nii poliitikakujundajate ja tööstuse kui ka kasutajate jaoks.

(4)  Küberründeid tuleb ette üha sagedamini ning küberohtude poolt lihtsamini haavatavat ühendatud majandust ja ühiskonda tuleb jõulisemalt ja turvalisemalt kaitsta. Kuigi küberründed on sageli piiriülesed, on küberturvalisusega tegelevate ametiasutuste reageeringud ja õiguskaitseasutuste pädevus valdavalt riigipõhised. Mastaapsed küberintsidendid võivad katkestada elutähtsate teenuste pakkumise kogu ELis. See tähendab, et ELi tasandil on vaja tõhusat reageerimist ja kriisihaldust, mis tugineks sellekohastele põhimõtetele ning Euroopa solidaarsuse ja vastastikuse abi mitmekülgsetele vahenditele. Vajadus koolituste järele on küberkaitse valdkonnas märkimisväärne ja suurenev ning kõige tõhusam viis selle rahuldamiseks on liidu tasandi koostöö. Seepärast on usaldusväärsetel liidu andmetel põhinev liidu küberturvalisuse ja vastupidavuse olukorra regulaarne hindamine ning nii liidu kui ka maailma tasandi edasiste arengusuundade, väljakutsete ja ohtude süstemaatiline hindamine tähtis nii poliitikakujundajate ja tööstuse kui ka kasutajate jaoks.

Muudatusettepanek    7

Ettepanek võtta vastu määrus

Põhjendus 5

Komisjoni ettepanek

Muudatusettepanek

(5)  Arvestades, et liitu ähvardavad küberturvalisuse probleemid kasvavad, on vaja igakülgset meetmete kogumit, mis toetuks liidu varasemale tegevusele ja edendaks üksteist vastastikku tugevdavaid eesmärke. Siia hulka kuulub vajadus veelgi suurendada liikmesriikide ja ettevõtjate suutlikkust ja valmisolekut ning parandada koostööd ja koordineerimist liikmesriikide ja ELi institutsioonide, asutuste ja organite vahel. Küberohud ei hooli riigipiiridest ja seepärast tuleb suurendada liidu tasandi suutlikkust, et see täiendaks liikmesriikide meetmeid eeskätt mastaapsete piiriüleste küberintsidentide ja -kriiside korral. Rohkem tuleb ära teha ka selleks, et suurendada kodanike ja ettevõtjate teadlikkust küberturvalisuse küsimustest. Ühtlasi tuleks veelgi suurendada usaldust digitaalse ühtse turu vastu ning pakkuda selleks läbipaistvat teavet IKT toodete ja teenuste turvalisuse tasemete kohta. Sellele saab kaasa aidata kogu ELi hõlmava sertifitseerimisega, mis tagab ühised küberturvalisuse nõuded ja hindamiskriteeriumid liikmesriikide turgudel ja sektorites.

(5)  Arvestades, et liitu ähvardavad küberturvalisuse probleemid kasvavad, on vaja igakülgset meetmete kogumit, mis toetuks liidu varasemale tegevusele ja edendaks üksteist vastastikku tugevdavaid eesmärke. Siia hulka kuulub vajadus veelgi suurendada liikmesriikide ja ettevõtjate suutlikkust ja valmisolekut ning parandada koostööd, koordineerimist ja teabe jagamist liikmesriikide ja ELi institutsioonide, asutuste ja organite vahel. Küberohud ei hooli riigipiiridest ja sihipärased rünnakud on üha ulatuslikumad ja täpsemad ning seepärast tuleb suurendada liidu tasandi suutlikkust, et see täiendaks liikmesriikide meetmeid eeskätt mastaapsete piiriüleste küberintsidentide ja -kriiside korral, rõhutades samas riikide suutlikkuse ja selle veelgi suurendamise olulisust igasugustele küberohtudele reageerimisel. Rohkem tuleb ära teha ka selleks, et ELi tasandil koordineeritult reageerida ning suurendada kodanike ja ettevõtjate teadlikkust küberturvalisuse küsimustest. Ühtlasi, arvestades, et küberintsidendid õõnestavad usaldust digitaalsete teenuste osutajate ning digitaalse ühtse turu vastu, eelkõige tarbijate seas, tuleks usaldust suurendada ning pakkuda selleks läbipaistvat teavet IKT toodete, protsesside ja teenuste turvalisuse tasemete kohta, rõhutades, et isegi küberturvalisuse sertifitseerimise kõrge tase ei taga, et IKT toode või teenus on täiesti turvaline. Sellele saab kaasa aidata kogu ELi hõlmava sertifitseerimisega, mis tagab ühised küberturvalisuse nõuded ja hindamiskriteeriumid liikmesriikide turgudel ja sektorites, küberkirjaoskuse edendamisega kogu ELi hõlmava sertifitseerimise kõrval ning, arvestades asjade interneti seadmete üha suuremat kättesaadavust, on ka mitmeid vabatahtlikke meetmeid, mida erasektor peaks kasutama, et suurendada usaldust IKT toodete, protsesside ja teenuste turvalisuse vastu, näiteks krüpteerimine ja plokiahela tehnoloogia. Ähvardavad probleemid peaksid kajastuma proportsionaalselt ametile eraldatavas eelarves, et tagada praegustes tingimustes optimaalne toimimine.

Muudatusettepanek    8

Ettepanek võtta vastu määrus

Põhjendus 5 a (uus)

Komisjoni ettepanek

Muudatusettepanek

 

(5 a)  Euroopa julgeoleku- ja küberkaitsestruktuuride tugevdamise eesmärgil on oluline säilitada ja arendada liikmesriikide suutlikkust reageerida küberohtudele (sh piiriülestele intsidentidele) kõikehõlmavalt, seejuures ei tohiks ametipoolne koordineerimine ELi tasandil tuua kaasa suutlikkuse või jõupingutuste vähenemist liikmesriikides.

Muudatusettepanek    9

Ettepanek võtta vastu määrus

Põhjendus 5 b (uus)

Komisjoni ettepanek

Muudatusettepanek

 

(5 b)  Ettevõtjatel ning üksikisikutest tarbijatel peaks olema täpne teave IKT toodete turvalisuse taseme kohta. Samal ajal tuleb mõista, et ükski toode ei ole küberturvaline ning et küberhügieeni põhireegleid tuleb edendada ja seada need prioriteediks.

Muudatusettepanek    10

Ettepanek võtta vastu määrus

Põhjendus 7

Komisjoni ettepanek

Muudatusettepanek

(7)  Euroopa Liit on juba astunud olulisi samme, et tagada küberturvalisus ja suurendada usaldust digitehnoloogia vastu. 2013. aastal võeti vastu ELi küberjulgeoleku strateegia, millest juhinduda liidu poliitilises reageerimises küberturvalisuse ohtudele ja riskidele. Et eurooplasi veebis paremini kaitsta, võttis liit 2016. aastal vastu küberturvalisuse valdkonna esimese õigusakti – direktiivi (EL) 2016/1148 meetmete kohta, millega tagada võrgu- ja infosüsteemide turvalisuse ühtlaselt kõrge tase kogu liidus (edaspidi „võrgu- ja infoturbe direktiiv“). Võrgu- ja infoturbe direktiiviga pandi paika riikide suutlikkust puudutavad nõuded küberturvalisuse valdkonnas, kehtestati liikmesriikide vahelise strateegilise ja operatiivkoostöö edendamise esimesed mehhanismid ning juurutati turbemeetmete ja intsidentidest teatamise kohustused majanduse ja ühiskonna jaoks eluliselt tähtsates sektorites, nagu energeetika, transport, veevarustus, pangandus, finantsturutaristud, tervishoid, digitaristu, aga ka oluliste digitaalsete teenuste osutajate puhul (otsingumootorid, pilvandmetöötlusteenused ja internetipõhised kauplemiskohad). ENISA-le anti selle direktiivi rakendamise toetamisel põhiroll. Võitlus küberkuritegevusega on olulisel kohal ka Euroopa julgeoleku tegevuskavas, kus see aitab kaasa küberturvalisuse kõrge taseme saavutamise üldeesmärgile.

(7)  Euroopa Liit on juba astunud olulisi samme, et tagada küberturvalisus ja suurendada usaldust digitehnoloogia vastu. 2013. aastal võeti vastu ELi küberjulgeoleku strateegia, millest juhinduda liidu poliitilises reageerimises küberturvalisuse ohtudele ja riskidele. Et eurooplasi veebis paremini kaitsta, võttis liit 2016. aastal vastu küberturvalisuse valdkonna esimese õigusakti – direktiivi (EL) 2016/1148 meetmete kohta, millega tagada võrgu- ja infosüsteemide turvalisuse ühtlaselt kõrge tase kogu liidus (edaspidi „võrgu- ja infoturbe direktiiv“). Võrgu- ja infoturbe direktiiviga, mille edukus sõltub otseselt direktiivi tulemuslikust rakendamisest liikmesriikides, viiakse ellu digitaalse ühtse turu strateegiat ning pannakse koos muude õigusaktidega, nagu direktiiv, millega kehtestatakse Euroopa elektroonilise side seadustik, määrus (EL) 2016/679 ja direktiiv 2002/58/EÜ, paika riikide suutlikkust puudutavad nõuded küberturvalisuse valdkonnas, kehtestati liikmesriikide vahelise strateegilise ja operatiivkoostöö edendamise esimesed mehhanismid ning juurutati turbemeetmete ja intsidentidest teatamise kohustused majanduse ja ühiskonna jaoks eluliselt tähtsates sektorites, nagu energeetika, transport, veevarustus, pangandus, finantsturutaristud, tervishoid, digitaristu, aga ka oluliste digitaalsete teenuste osutajate puhul (otsingumootorid, pilvandmetöötlusteenused ja internetipõhised kauplemiskohad). ENISA-le anti selle direktiivi rakendamise toetamisel põhiroll. Võitlus küberkuritegevusega on olulisel kohal ka Euroopa julgeoleku tegevuskavas, kus see aitab kaasa küberturvalisuse kõrge taseme saavutamise üldeesmärgile.

Muudatusettepanek    11

Ettepanek võtta vastu määrus

Põhjendus 8

Komisjoni ettepanek

Muudatusettepanek

(8)  Tuleb tõdeda, et 2013. aasta küberjulgeoleku strateegia vastuvõtmisest ja ameti mandaadi viimasest läbivaatamisest möödunud aja jooksul on üldine poliitiline kontekst oluliselt muutunud, seda ka seoses ebakindlama ja vähem turvalise üldise õhustikuga maailmas. Sellist olukorda arvestades on vaja liidu uue küberturvalisuse poliitika raames läbi vaadata ENISA mandaat, et määrata kindlaks ameti roll muutunud küberturvalisuse tingimustes ning tagada, et see annab tulemusliku panuse sellesse, kuidas liit reageerib põhjalikult muutnud ohtude maastikul esile kerkivatele küberturvalisuse probleemidele, millega toimetulemiseks ei ole praegune mandaat ameti hinnangul piisav.

(8)  Tuleb tõdeda, et 2013. aasta küberjulgeoleku strateegia vastuvõtmisest ja ameti mandaadi viimasest läbivaatamisest möödunud aja jooksul on üldine poliitiline kontekst oluliselt muutunud, seda ka seoses ebakindlama ja vähem turvalise üldise õhustikuga maailmas. Sellist olukorda ja ameti eelnevate aastate positiivset rolli erialateadmiste koondamisel, koordineerimisel ja suutlikkuse arendamisel arvesse võttes on vaja liidu uue küberturvalisuse poliitika raames läbi vaadata ENISA mandaat, et määrata kindlaks ameti roll muutunud küberturvalisuse tingimustes ning tagada, et see annab tulemusliku panuse sellesse, kuidas liit reageerib põhjalikult muutnud ohtude maastikul esile kerkivatele küberturvalisuse probleemidele, millega toimetulemiseks ei ole praegune mandaat ameti hinnangul piisav.

Muudatusettepanek    12

Ettepanek võtta vastu määrus

Põhjendus 11

Komisjoni ettepanek

Muudatusettepanek

(11)  Arvestades liidu ees seisvate küberturvalisusega seotud probleemide kasvu, tuleks suurendada ametile eraldatavaid finants- ja inimressursse, et need vastaksid ameti tõhustatud rollile ja ülesannetele ning ameti tähtsale positsioonile Euroopa digitaalse ökosüsteemi kaitsmisel.

(11)  Arvestades liidu ees seisvate küberturvalisusega seotud ohtude ja probleemide kasvu, tuleks suurendada ametile eraldatavaid finants- ja inimressursse, et need vastaksid ameti tõhustatud rollile ja ülesannetele ning ameti tähtsale positsioonile Euroopa digitaalse ökosüsteemi kaitsmisel, võimaldades ENISA-l täita tõhusalt talle käesoleva määrusega pandud ülesandeid.

Muudatusettepanek    13

Ettepanek võtta vastu määrus

Põhjendus 12

Komisjoni ettepanek

Muudatusettepanek

(12)  Amet peaks välja kujundama oskusteabe kõrge taseme ja seda hoidma ning tegutsema kontaktüksusena, mis tekitab ühtsel turul usaldust ja kindlustunnet tänu oma sõltumatusele, antud nõu ja levitatava teabe kvaliteedile, menetluste ja töömeetodite läbipaistvusele ning oma ülesannete hoolikale täitmisele. Täites oma ülesandeid täielikus koostöös liidu institutsioonide, organite ja asutuste, aga ka liikmesriikidega, peaks amet andma ennetava panuse riikide ja liidu tegevusse. Lisaks peaks amet arendama edasi erasektorilt saadud sisendit, lähtudes erasektori ja muude asjaomaste sidusrühmadega tehtavast koostööst. Ameti ülesannete kogumiga tuleks paika panna, kuidas amet peab oma eesmärgid saavutama, tagades talle samas tööks vajaliku paindlikkuse.

(12)  Amet peaks välja kujundama oskusteabe kõrge taseme ja seda hoidma ning tegutsema kontaktüksusena, mis tekitab ühtsel turul usaldust ja kindlustunnet tänu oma sõltumatusele, antud nõu ja levitatava teabe kvaliteedile, menetluste ja töömeetodite läbipaistvusele ning oma ülesannete hoolikale täitmisele. Täites oma ülesandeid täielikus koostöös liidu institutsioonide, organite ja asutuste, aga ka liikmesriikidega, peaks amet andma ennetava panuse riikide ja liidu tegevusse, vältides topelttööd, edendades sünergiat ja täiendavust ning saavutades sellega koordineerimise ja eelarvesäästu. Lisaks peaks amet arendama edasi era- ja avalikult sektorilt saadud sisendit, lähtudes erasektori ja muude asjaomaste sidusrühmadega tehtavast koostööst. Selge tegevuskava ning selgelt kindlaks määratud ameti ülesannete ja eesmärkide kogumiga tuleks paika panna, kuidas amet peab oma eesmärgid saavutama, pöörates samas nõuetekohast tähelepanu ameti tööks vajalikule paindlikkusele. Võimaluse korral tuleks säilitada kõrgeim läbipaistvuse ja teabe levitamise tase.

Muudatusettepanek    14

Ettepanek võtta vastu määrus

Põhjendus 12 a (uus)

Komisjoni ettepanek

Muudatusettepanek

 

(12 a)  Ameti rolli tuleks pidevalt hinnata ja õigeaegselt läbi vaadata, eelkõige selle koordineerivat rolli liikmesriikide ja nende riiklike ametiasutuste suhtes ning võimalust tegutseda liikmesriikide ning ELi organite ja institutsioonide ühtse kontaktpunktina. Samuti tuleks hinnata ameti rolli siseturu killustumise vältimisel ja kohustuslike küberturvalisuse sertifitseerimise kavade võimalikul kasutuselevõtmisel, kui tulevikus peaks olukord sellist muutust nõudma, ning lisaks tuleks hinnata ameti rolli seoses ELi turule sisenevate kolmandatest riikidest pärit toodete hindamisega ja ELi kriteeriumidele mittevastavate ettevõtete võimaliku musta nimekirja lisamisega.

Muudatusettepanek    15

Ettepanek võtta vastu määrus

Põhjendus 12 b (uus)

Komisjoni ettepanek

Muudatusettepanek

 

(12 b)  Et pakkuda liikmesriikidele asjakohast tuge operatiivses koostöös, peaks Euroopa Liidu Võrgu- ja Infoturbeamet (ENISA) veelgi tugevdama oma tehnilist suutlikkust ja eksperditeadmisi. Selleks peaks amet järk-järgult tugevdama nimetatud ülesannetega tegelevat töötajaskonda, et olla suuteline koguma ja autonoomselt analüüsima eri liiki küberohte ja pahavara, tegema kohtuekspertiisi ja aitama liikmesriike ulatuslikele intsidentidele reageerimisel. Et vältida liikmesriikides olemasoleva suutlikkuse dubleerimist, peaks ENISA suurendama oma oskusteavet ja liikmesriikides olemasolevatel vahenditel põhinevat suutlikkust, sealhulgas lähetades ametisse riiklikke eksperte, moodustades ekspertide rühmi, kasutades töötajate vahetusprogramme jne. Kõnealuse valdkonna töötajate valimisel peaks amet järk-järgult tagama, et nad vastavad asjakohase toe pakkumiseks vajalikele kriteeriumitele.

Muudatusettepanek    16

Ettepanek võtta vastu määrus

Põhjendus 13

Komisjoni ettepanek

Muudatusettepanek

(13)  Amet peaks abistama komisjoni nõuannete, arvamuste ja analüüsidega kõigis liidu küsimustes, mis on seotud küberturvalisuse valdkonna, sealhulgas elutähtsa sideinfrastruktuuri kaitse ja kübervastupidavusvõime alase poliitika ja õigusaktide väljatöötamisega. Amet peaks tegutsema nõuandva ja oskusteavet pakkuva kontaktüksusena selliste liidu sektorispetsiifilise poliitika ja õigusalaste algatuste jaoks, mis puudutavad küberturvalisust.

(13)  Amet peaks abistama komisjoni nõuannete, arvamuste ja analüüsidega kõigis liidu küsimustes, mis on seotud küberturvalisuse valdkonna, sealhulgas elutähtsa sideinfrastruktuuri kaitse ja kübervastupidavusvõime alase poliitika ja õigusaktide väljatöötamisega. Amet peaks tegutsema nõuandva ja oskusteavet pakkuva kontaktüksusena selliste liidu sektorispetsiifilise poliitika ja õigusalaste algatuste jaoks, mis puudutavad küberturvalisust. Ameti eksperditeadmisi on eriti vaja Euroopa küberturvalisuse sertifitseerimise kavade liidu mitmeaastase tööprogrammi koostamisel. Amet peaks esitama parlamendile regulaarselt ajakohastatud teabe, analüüsid ja ülevaate küberturvalisuse valdkonna ja ameti ülesannete muutumise kohta.

Muudatusettepanek    17

Ettepanek võtta vastu määrus

Põhjendus 14

Komisjoni ettepanek

Muudatusettepanek

(14)  Ameti põhiülesanne on toetada asjakohase õigusraamistiku järjepidevat rakendamist, eelkõige võrgu- ja infoturbe direktiivi tulemuslikku rakendamist, mis on kübervastupidavusvõime suurendamise jaoks eluliselt tähtis. Arvestades seda, kui kiiresti küberturvalisuse ohud muutuvad, on selge, et liikmesriike tuleb toetada igakülgsema ja eri valdkondi hõlmava poliitilise lähenemisega kübervastupidavusvõime loomisele.

(14)  Ameti põhiülesanne on toetada asjakohase õigusraamistiku järjepidevat rakendamist, eelkõige võrgu- ja infoturbe direktiivi, Euroopa elektroonilise side seadustiku kehtestamise direktiivi, määruse (EL) 2016/679 ja direktiivi 2002/58/EÜ tulemuslikku rakendamist, mis on kübervastupidavusvõime suurendamise jaoks eluliselt tähtis. Arvestades seda, kui kiiresti küberturvalisuse ohud muutuvad, on selge, et liikmesriike tuleb toetada igakülgsema ja eri valdkondi hõlmava poliitilise lähenemisega kübervastupidavusvõime loomisele.

Muudatusettepanek    18

Ettepanek võtta vastu määrus

Põhjendus 15

Komisjoni ettepanek

Muudatusettepanek

(15)  Amet peaks abistama liikmesriike ja liidu institutsioone, organeid ja asutusi töös, mida nad teevad, et luua ja suurendada suutlikkust ja valmisolekut ennetada ja avastada küberturvalisuse intsidente ja neile reageerida, ning seoses võrgu- ja infosüsteemide turvalisusega. Eeskätt peaks amet toetama riiklike CSIRTide arendamist ja tõhustamist, et neil oleks kogu liidus ühtemoodi kõrge küpsuse aste. Samuti peaks amet abistama liidu ja liikmesriikide võrgu- ja infosüsteemide turvalisuse strateegiate väljatöötamist ja uuendamist, edendama nende levitamist ja hoidma silma peal nende rakendamisel. Lisaks peaks amet pakkuma koolitusi ja koolitusmaterjali avalikele asutustele ning koolitama vajaduse korral koolitajaid, et aidata liikmesriikidel välja kujundada nende endi koolitussuutlikkus.

(15)  Amet peaks abistama liikmesriike ja liidu institutsioone, organeid ja asutusi töös, mida nad teevad, et luua ja suurendada suutlikkust ja valmisolekut ennetada ja avastada küberturvalisuse intsidente ja neile reageerida, ning seoses võrgu- ja infosüsteemide turvalisusega. Eeskätt peaks amet toetama riiklike CSIRTide arendamist ja tõhustamist, et neil oleks kogu liidus ühtemoodi kõrge küpsuse aste. Samuti peaks amet abistama liidu ja liikmesriikide võrgu- ja infosüsteemide turvalisuse strateegiate väljatöötamist ja uuendamist, edendama nende levitamist ja hoidma silma peal nende rakendamisel. Arvestades, et inimvigade puhul on tegemiste ühe kõige asjakohasema küberturvalisuse ohuga, peaks amet pakkuma lisaks koolitusi ja koolitusmaterjali avalikele asutustele ning koolitama võimalikult suures ulatuses koolitajaid, et aidata liikmesriikidel ning liidu institutsioonidel ja asutustel välja kujundada nende endi koolitussuutlikkus. Samuti peaks amet olema liikmesriikide ja liidu institutsioonide kontaktpunkt, kellel peaks olema võimalus taotleda ametilt abi talle määratud pädevuste ja rollide raames.

Muudatusettepanek    19

Ettepanek võtta vastu määrus

Põhjendus 18

Komisjoni ettepanek

Muudatusettepanek

(18)  Amet peaks koondama ja analüüsima riikide CSIRTide ja CERT-EU aruandeid ning koostama teabevahetuse jaoks ühised eeskirjad, keele ja terminoloogia. Võrgu- ja infoturbe direktiiviga loodud CSIRTide võrgustikuga loodi alus vabatahtlikuks tehnilise teabe vahetamiseks operatiivtasandil – selle raames peaks amet kaasama ka erasektori.

(18)  Amet peaks koondama ja analüüsima riikide CSIRTide ja CERT-EU aruandeid ning koostama teabevahetuse jaoks ühised eeskirjad, keele ja terminoloogia. Võrgu- ja infoturbe direktiiviga loodud CSIRTide võrgustikuga loodi alus vabatahtlikuks tehnilise teabe vahetamiseks operatiivtasandil – selle raames peaks amet kaasama ka era- ja avaliku sektori.

Muudatusettepanek    20

Ettepanek võtta vastu määrus

Põhjendus 19

Komisjoni ettepanek

Muudatusettepanek

(19)  Amet peaks andma oma panuse sellesse, kuidas ELi tasandil reageeritakse mastaapsetele piiriülestele küberturvalisuse intsidentidele ja kriisidele. See funktsioon peaks hõlmama asjaomase teabe kogumist ning vahendajarolli CSIRTide võrgustiku ja tehnilise kogukonna, aga ka kriisi haldamise eest vastutavate otsusetegijate vahel. Lisaks võiks amet toetada intsidendikäsitlust tehnilise külje pealt, hõlbustades vajalike lahenduste tehnilist vahetamist liikmesriikide vahel ja pakkudes sisendit avaliku teabevahetuse jaoks. Amet peaks seda protsessi toetama sellise koostöö aspektide testimisega iga-aastaste küberturvalisuse õppuste käigus.

(19)  Amet peaks andma oma panuse sellesse, kuidas ELi tasandil reageeritakse mastaapsetele piiriülestele küberturvalisuse intsidentidele ja kriisidele. See funktsioon peaks hõlmama liikmesriikide asutuste kokku kutsumist ja nende reageerimise koordineerimisel abistamist, asjaomase teabe kogumist ning vahendajarolli CSIRTide võrgustiku ja tehnilise kogukonna, aga ka kriisi haldamise eest vastutavate otsusetegijate vahel. Lisaks võiks amet toetada intsidendikäsitlust tehnilise külje pealt, näiteks hõlbustades vajalike lahenduste tehnilist vahetamist liikmesriikide vahel ja pakkudes sisendit avaliku teabevahetuse jaoks. Amet peaks seda protsessi toetama sellise koostöö aspektide testimisega iga-aastaste küberturvalisuse õppuste käigus. Amet peaks austama liikmesriikide küberturvalisuse alast pädevust, eriti pädevust, mis on seotud avaliku julgeoleku, riigikaitse, riikliku julgeoleku ja riigi tegevusega kriminaalõiguse valdkonnas.

Muudatusettepanek    21

Ettepanek võtta vastu määrus

Põhjendus 25

Komisjoni ettepanek

Muudatusettepanek

(25)  Liikmesriigid võivad paluda, et intsidendist mõjutatud ettevõtjad teeksid koostööd ning pakuksid ametile vajalikku teavet ja abi, ilma et see piiraks nende õigust kaitsta tundlikku äriteavet.

(25)  Liikmesriigid võivad paluda, et intsidendist mõjutatud ettevõtjad teeksid koostööd ning pakuksid ametile vajalikku teavet ja abi, ilma et see piiraks nende õigust kaitsta tundlikku äriteavet ja avaliku julgeoleku seisukohast olulist teavet.

Muudatusettepanek    22

Ettepanek võtta vastu määrus

Põhjendus 26

Komisjoni ettepanek

Muudatusettepanek

(26)  Et küberturvalisuse valdkonna probleemidest paremini aru saada ning liikmesriikidele ja liidu institutsioonidele pikaajalist strateegilist nõu anda, peab amet analüüsima praeguseid ja kujunemisjärgus riske. Sel eesmärgil peaks amet koostöös liikmesriikidega ja vajaduse korral ka statistikaasutuste ja muude asutustega koguma asjakohast teavet ning analüüsima kujunemisjärgus tehnoloogiaid ja andma teemakohaseid hinnanguid võrgu- ja infoturbe, eeskätt küberturvalisuse tehnoloogiliste uuenduste eeldatavale ühiskondlikule, õiguslikule, majanduslikule ja regulatiivsele mõjule. Peale selle peaks amet toetama ohtude ja intsidentide analüüsimise kaudu liikmesriike ja liidu institutsioone, organeid ja asutusi esilekerkivate suundumuste kindlakstegemisel ja küberturvalisusega seotud probleemide vältimisel.

(26)  Et küberturvalisuse valdkonna probleemidest paremini aru saada ning liikmesriikidele ja liidu institutsioonidele pikaajalist strateegilist nõu anda, peab amet analüüsima praeguseid ja kujunemisjärgus riske, intsidente, ohte ja nõrku kohti. Sel eesmärgil peaks amet koostöös liikmesriikidega ja vajaduse korral ka statistikaasutuste ja muude asutustega koguma asjakohast teavet ning analüüsima kujunemisjärgus tehnoloogiaid ja andma teemakohaseid hinnanguid võrgu- ja infoturbe, eeskätt küberturvalisuse tehnoloogiliste uuenduste eeldatavale ühiskondlikule, õiguslikule, majanduslikule ja regulatiivsele mõjule. Peale selle peaks amet toetama ohtude, intsidentide ja turvanõrkuste analüüsimise kaudu liikmesriike ja liidu institutsioone, organeid ja asutusi esilekerkivate suundumuste kindlakstegemisel ja küberturvalisusega seotud probleemide vältimisel.

Muudatusettepanek    23

Ettepanek võtta vastu määrus

Põhjendus 27

Komisjoni ettepanek

Muudatusettepanek

(27)  Amet peaks liidu vastupidavuse suurendamiseks arendama internetitaristu ja elutähtsate infrastruktuuride turvalisuse alaseid teadmisi, pakkudes nõuandeid, juhiseid ja parimaid tavasid. Et tagada hõlpsam juurdepääs paremini struktureeritud teabele küberturvalisuse riskide ja võimalike lahenduste kohta, peaks amet arendama välja liidu teabekeskuse ja hoidma seda käigus. Teabekeskus oleks universaalne portaal, mis jagaks üldsusele küberturvalisuse kohta teavet, mis on saadud ELi ja riikide institutsioonidelt, organitelt ja asutustelt.

(27)  Amet peaks liidu vastupidavuse suurendamiseks arendama internetitaristu ja elutähtsate infrastruktuuride turvalisuse alaseid teadmisi, pakkudes nõuandeid, juhiseid ja parimaid tavasid. Et tagada hõlpsam juurdepääs paremini struktureeritud teabele küberturvalisuse riskide ja võimalike lahenduste kohta, peaks amet arendama välja liidu teabekeskuse ja hoidma seda käigus. Teabekeskus oleks universaalne portaal, mis jagaks üldsusele küberturvalisuse kohta teavet, mis on saadud ELi ja riikide institutsioonidelt, organitelt ja asutustelt. Küberjulgeolekuohte ja võimalikke vastumeetmeid käsitlevale paremini struktureeritud teabele juurdepääsu võimaldamine peaks aitama liikmesriikidel suutlikkust parandada ja tavasid ühtlustada ning suurendada seega oma üldist vastupidavusvõimet küberrünnete suhtes.

Muudatusettepanek    24

Ettepanek võtta vastu määrus

Põhjendus 28

Komisjoni ettepanek

Muudatusettepanek

(28)  Amet peaks aitama suurendada üldsuse teadlikkust küberturvalisusega seotud riskidest ja jagama kodanikele ja organisatsioonidele mõeldud juhiseid individuaalsete kasutajate heade tavade kohta; Amet peaks aitama kaasa ka parimate tavade ja lahenduste propageerimisele üksikisikute ja organisatsioonide tasandil; selleks tuleks koguda ja analüüsida avalikult kättesaadavat teavet oluliste intsidentide kohta ning koostada aruanded, et pakkuda ettevõtjatele ja kodanikele juhiseid ning parandada valmisoleku ja vastupidavuse üldist taset. Amet peaks korraldama koostöös liikmesriikide ja liidu institutsioonide, organite, asutuste ja ametitega korrapäraseid lõppkasutajatele suunatud üldsuse harimise ja teavituskampaaniaid, mille eesmärk on propageerida üksikisikute ohutumat veebikäitumist ja suurendada teadlikkust küberkeskkonnas varitseda võivatest ohtudest, sealhulgas sellistest küberkuritegudest nagu andmepüügi rünnakud, robotvõrgud, finants- ja pangapettused, ning tutvustada autentimise ja andmekaitse alaseid elementaarseid nõuandeid. Ametil peaks olema keskne roll selles, et lõppkasutajad saaksid kiiremini teadlikuks seadmete turvalisusest.

(28)  Amet peaks aitama suurendada üldsuse teadlikkust, sealhulgas harimise abil, küberturvalisusega seotud riskidest ja jagama kodanikele, organisatsioonidele ja ettevõtjatele mõeldud juhiseid individuaalsete kasutajate heade tavade kohta; Amet peaks aitama kaasa ka küberhügieeni parimate tavade propageerimisele, mis hõlmavad mitmeid meetmeid, mida tuleks korrapäraselt rakendada ja ellu viia, et kaitsta kasutajaid ja ettevõtjaid veebis, ja lahenduste propageerimisele üksikisikute, organisatsioonide ja ettevõtjate tasandil; selleks tuleks koguda ja analüüsida avalikult kättesaadavat teavet oluliste intsidentide kohta ning koostada ja avaldada aruanded ja juhendid, et pakkuda ettevõtjatele ja kodanikele juhiseid ning parandada valmisoleku ja vastupidavuse üldist taset. ENISA peaks ka püüdma pakkuda tarbijatele asjakohast teavet kohaldatavate sertifitseerimise kavade kohta, näiteks andes suuniseid ja soovitusi internetipõhistele ja internetivälistele kauplemiskohtadele. Amet peaks korraldama kooskõlas digihariduse tegevuskavaga ja koostöös liikmesriikide ja liidu institutsioonide, organite, asutuste ja ametitega korrapäraseid lõppkasutajatele suunatud üldsuse harimise ja teavituskampaaniaid, mille eesmärk on propageerida üksikisikute ohutumat veebikäitumist, digikirjaoskust ja suurendada teadlikkust küberkeskkonnas varitseda võivatest ohtudest, sealhulgas sellistest küberkuritegudest nagu andmepüügi rünnakud, robotvõrgud, finants- ja pangapettused, ning tutvustada mitmetegurilise autentimise, paikamise, krüptimise, andmete anonüümseks muutmise ja andmekaitse alaseid elementaarseid nõuandeid. Ametil peaks olema keskne roll selles, et lõppkasutajad saaksid kiiremini teadlikuks seadmete turvalisusest ja teenuste turvalisest kasutamisest, ning samuti sisseprojekteeritud turbe, lõimprivaatsuse, intsidentide ja nende lahenduste populariseerimises ELi tasandil. Selle eesmärgi saavutamiseks peaks amet kasutama maksimaalselt olemasolevaid parimaid tavasid ja kogemusi, eriti neid, mis on pärit teadusasutustelt ja IT-turvalisusega tegelevatelt teadlastelt. Ametile tuleks anda piisavad vahendid selle ülesande võimalikult hästi täitmiseks, arvestades, et isiklikud vead ja küberohtude mitte teadmine on küberturvalisuse valdkonnas ebakindluse põhitegur.

Muudatusettepanek    25

Ettepanek võtta vastu määrus

Põhjendus 28 a (uus)

Komisjoni ettepanek

Muudatusettepanek

 

(28 a)  Amet peaks suurendama üldsuse teadlikkust andmetega seotud pettuste ja varguste riskidest, mis võivad oluliselt kahjustada isiku põhiõigusi, ohustada õigusriiki ja demokraatlike ühiskondade stabiilsust, sealhulgas demokraatlikke protsesse liikmesriikides,

Muudatusettepanek    26

Ettepanek võtta vastu määrus

Põhjendus 30

Komisjoni ettepanek

Muudatusettepanek

(30)  Tagamaks, et amet saavutab oma eesmärgid täies ulatuses, peaks ta suhtlema asjaomaste institutsioonide, organite ja asutustega, kelle hulgas on CERT-EU, Europoli juures tegutsev küberkuritegevuse vastase võitluse Euroopa keskus (EC3), Euroopa Kaitseagentuur (EDA), Vabadusel, Turvalisusel ja Õigusel Rajaneva Ala Suuremahuliste IT-süsteemide Operatiivjuhtimise Euroopa Amet (eu-LISA), Euroopa Lennundusohutusamet (EASA) ja mistahes muud ELi ametid, kes tegelevad küberturvalisusega. Peale selle peaks ta suhtlema veel andmekaitsega tegelevate ametiasutustega, et vahetada oskusteavet ja parimaid tavasid ning anda nõu küberturvalisuse aspektide kohta, mis võiksid mõjutada nende tööd. Riikide ja liidu õiguskaitseasutuste ja andmekaitseasutuste esindajad peaksid olema esindatud ameti alalises sidusrühmas. Õiguskaitseasutustega koostöö tegemisel võrgu- ja infoturbe küsimustes, mis võivad nende tööd mõjutada, peaks amet arvestama olemasolevate teabekanalite ja rajatud võrgustikega.

(30)  Tagamaks, et amet saavutab oma eesmärgid täies ulatuses, peaks ta suhtlema asjaomaste institutsioonide, ELi järelevalve- ja muude pädevate ametite, organite ja asutustega, kelle hulgas on CERT-EU, Europoli juures tegutsev küberkuritegevuse vastase võitluse Euroopa keskus (EC3), Euroopa Kaitseagentuur (EDA), Euroopa GNSSi Agentuur (GSA), Elektroonilise Side Euroopa Reguleerivate Asutuste Ühendatud Amet (BEREC), Vabadusel, Turvalisusel ja Õigusel Rajaneva Ala Suuremahuliste IT-süsteemide Operatiivjuhtimise Euroopa Amet (eu-LISA), Euroopa Keskpank (EKP), Euroopa Pangandusjärelevalve (EBA), Euroopa Andmekaitsenõukogu, Euroopa Lennundusohutusamet (EASA) ja mistahes muud ELi ametid, kes tegelevad küberturvalisusega. Peale selle peaks ta suhtlema veel Euroopa standardiorganisatsioonide, asjaomaste sidusrühmade ja andmekaitsega tegelevate ametiasutustega, et vahetada oskusteavet ja parimaid tavasid ning anda nõu küberturvalisuse aspektide kohta, mis võiksid mõjutada nende tööd. Riikide ja liidu õiguskaitseasutuste ja andmekaitseasutuste esindajad peaksid olema esindatud ENISA nõuanderühmas. Õiguskaitseasutustega koostöö tegemisel võrgu- ja infoturbe küsimustes, mis võivad nende tööd mõjutada, peaks amet arvestama olemasolevate teabekanalite ja rajatud võrgustikega. Selliste teadusasutustega, kes on käivitanud asjaomastes valdkondades teadusalgatusi, tuleks luua partnerlussuhted, ning tarbija- ja teiste organisatsioonide panustamiseks tuleks tagada asjakohased võimalused ja nende panust tuleks alati analüüsida.

Muudatusettepanek    27

Ettepanek võtta vastu määrus

Põhjendus 31

Komisjoni ettepanek

Muudatusettepanek

(31)  Amet on CSIRTide võrgustiku liige ja pakub neile ka sekretariaaditeenuseid ning peaks toetama liikmesriikide CSIRTe ja CERT-EUd operatiivkoostöös, mis lisandub CSIRTide võrgustiku kõigile asjaomastele ülesannetele, mis on kindlaks määratud võrgu- ja infotrube direktiivis. Veelgi enam, amet peaks edendama ja toetama ka asjaomaste CSIRTide koostööd, kui toimuvad intsidendid, ründed või häired CSIRTide hallatavates või kaitstavates võrkudes või taristutes, mis hõlmavad või võivad hõlmata vähemalt kahte CSIRTi, võttes sealjuures nõuetekohaselt arvesse CSIRTide võrgustiku standardset töökorda.

(31)  Amet on CSIRTide võrgustiku liige ja pakub neile ka sekretariaaditeenuseid ning peaks toetama liikmesriikide CSIRTe ja CERT-EUd operatiivkoostöös, mis lisandub CSIRTide võrgustiku kõigile asjaomastele ülesannetele, mis on kindlaks määratud võrgu- ja infotrube direktiivis. Veelgi enam, amet peaks edendama ja toetama ka asjaomaste CSIRTide koostööd, kui toimuvad intsidendid, ründed või häired CSIRTide hallatavates või kaitstavates võrkudes või taristutes, mis hõlmavad või võivad hõlmata vähemalt kahte CSIRTi, võttes sealjuures nõuetekohaselt arvesse CSIRTide võrgustiku standardset töökorda. Amet viib komisjoni või liikmesriigi taotluse korral läbi elutähtsate piiriüleste taristute korrapäraseid sõltumatuid IT-turvalisuse auditeid eesmärgiga teha kindlaks võimalikud kübertutvalisuse riskid ja anda soovitusi taristute vastupanuvõime tugevdamiseks.

Muudatusettepanek    28

Ettepanek võtta vastu määrus

Põhjendus 33

Komisjoni ettepanek

Muudatusettepanek

(33)  Lisaks peaks amet arendama ja säilitama oma oskusteavet küberturvalisuse sertifitseerimise kohta, et toetada liidu poliitikat selles valdkonnas. Amet peaks edendama küberturvalisuse sertifitseerimise kasutuselevõttu liidus muu hulgas sellega, et aitab kehtestada liidu tasandil küberturvalisuse sertifitseerimise raamistiku ja seda hallata, et suurendada IKT toodete ja teenuste küberturvalisuse alase usaldusväärsuse läbipaistvust ning tugevdada seeläbi usaldust digitaalse siseturu vastu.

(33)  Lisaks peaks amet arendama ja säilitama oma oskusteavet küberturvalisuse sertifitseerimise kohta, et toetada liidu poliitikat selles valdkonnas. Amet peaks tuginema olemasolevatele parimatele tavadele ja edendama küberturvalisuse sertifitseerimise kasutuselevõttu liidus muu hulgas sellega, et aitab kehtestada liidu tasandil küberturvalisuse sertifitseerimise raamistiku ja seda hallata, et suurendada IKT toodete ja teenuste küberturvalisuse alase usaldusväärsuse läbipaistvust ning tugevdada seeläbi usaldust digitaalse siseturu vastu.

Muudatusettepanek    29

Ettepanek võtta vastu määrus

Põhjendus 35

Komisjoni ettepanek

Muudatusettepanek

(35)  Amet peaks innustama liikmesriike ja teenusepakkujaid tõstma oma üldisi turbestandardeid, et kõik internetikasutajad saaksid võtta vajalikud meetmed oma isikliku küberturvalisuse tagamiseks. Eelkõige peaksid tootjad ja teenuseosutajad võtma tagasi või taaskasutusse tooted ja teenused, mis ei vasta küberturvalisuse standarditele. Koostöös pädevate asutustega võib ENISA jagada teavet siseturul pakutavate toodete ja teenuste küberturvalisuse taseme kohta ning avaldada teenusepakkujatele ja tootjatele suunatud hoiatusi, milles nõutakse nende toodete ja teenuste turvalisuse, sealhulgas küberturvalisuse parandamist.

(35)  Amet peaks innustama liikmesriike, tootjaid ja teenusepakkujaid tõstma oma üldisi turbestandardeid seoses IKT toodete, protsesside, teenuste ja süsteemidega, mis peaksid vastama põhilistele julgeolekualastele kohustustele, mis on kooskõlas sisseprojekteeritud turbe ja vaikimisi turbe põhimõttega, eelkõige pakkudes vajalikke ajakohastusi, et kõik internetikasutajad oleksid kaitstud ja motiveeritud võtma vajalikud meetmed oma isikliku küberturvalisuse tagamiseks. Eelkõige peaksid tootjad ja teenuseosutajad tagasi nõudma, võtma tagasi või taaskasutusse tooted ja teenused, mis ei vasta põhilistele küberturvalisuse kohustustele, samas kui importijad ja turustajad peaksid tagama, et nende poolt ELi turule lastud IKT tooted, protsessid, teenused ja süsteemid vastavad kohaldatavatele nõuetele ning ei kujuta endast ohtu Euroopa tarbijatele. Koostöös pädevate asutustega võib ENISA jagada teavet siseturul pakutavate toodete ja teenuste küberturvalisuse taseme kohta ning avaldada teenusepakkujatele, tootjatele suunatud hoiatusi, milles nõutakse nende toodete, protsesside, teenuste ja süsteemide turvalisuse, sealhulgas küberturvalisuse parandamist. Amet peaks tegema sidusrühmadega koostööd, et töötada vastutustundliku turvanõrkustest teatamise kohta välja ELi-ülene lähenemisviis, ning edendama parimaid tavasid selles valdkonnas.

Muudatusettepanek    30

Ettepanek võtta vastu määrus

Põhjendus 36

Komisjoni ettepanek

Muudatusettepanek

(36)  Amet peaks täies ulatuses võtma arvesse tehtavaid teadusuuringuid, arendustegevust ja tehnoloogilisi hindamisi, eelkõige neid, mida tehakse mitmesuguste Euroopa Liidu teadusalgatuste raames, et nõustada liidu institutsioone, organeid ja asutusi ning kui see on asjakohane, liikmesriike nende taotlusel seoses vajadusega teadusuuringute järele võrgu- ja infoturbe, eelkõige küberturvalisuse valdkonnas.

(36)  Amet peaks täies ulatuses võtma arvesse tehtavaid teadusuuringuid, arendustegevust ja tehnoloogilisi hindamisi, eelkõige neid, mida tehakse mitmesuguste Euroopa Liidu teadusalgatuste raames, et nõustada liidu institutsioone, organeid ja asutusi ning kui see on asjakohane, liikmesriike nende taotlusel seoses vajadusega teadusuuringute järele võrgu- ja infoturbe, eelkõige küberturvalisuse valdkonnas. Konkreetsemalt tuleks sisse seada koostöö Euroopa Teadusnõukogu (ERC) ja Euroopa Innovatsiooni- ja Tehnoloogiainstituudiga (EIT) ning üheksandasse teadusuuringute raamprogrammi (FP9) ja programmi „Horisont 2020“ tuleks lisada turvalisusuuringud.

Muudatusettepanek    31

Ettepanek võtta vastu määrus

Põhjendus 36 a (uus)

Komisjoni ettepanek

Muudatusettepanek

 

(36 a)  Standardid on vabatahtlikud ja turupõhised vahendid, mis pakuvad tehnilisi nõudeid ja suuniseid, ning avatud, läbipaistva ja kaasava protsessi tulemus. Amet peaks regulaarselt pidama nõu ja tegema tihedat koostööd standardiorganisatsioonidega, eriti Euroopa küberturvalisuse sertifitseerimise kavade koostamisel.

Muudatusettepanek    32

Ettepanek võtta vastu määrus

Põhjendus 37

Komisjoni ettepanek

Muudatusettepanek

(37)  Küberturvalisusega seotud probleemid on ülemaailmsed. Vaja on teha tihedamat rahvusvahelist koostööd, et parandada turbestandardeid, (sealhulgas määratleda ühised käitumisnormid) ja teabe jagamist, millega edendatakse nii kiiremat rahvusvahelist koostööd reageerimise valdkonnas kui ka ühtset ülemaailmset lähenemisviisi võrgu- ja infoturbele. Selleks peaks amet toetama liidu tihedamat kaasamist ning koostööd kolmandate riikide ja rahvusvaheliste organisatsioonidega, pakkudes vajaduse korral asjaomastele liidu institutsioonidele, organitele ja asutustele vajalikku oskusteavet ja analüüsi.

(37)  Küberturvalisusega seotud probleemid on ülemaailmsed. Vaja on teha tihedamat rahvusvahelist koostööd, et parandada turbestandardeid, (sealhulgas määratleda ühised käitumisnormid ja tegevusjuhendid), rahvusvaheliste standardite kasutamist ja teabe jagamist, millega edendatakse nii kiiremat rahvusvahelist koostööd reageerimise valdkonnas kui ka ühtset ülemaailmset lähenemisviisi võrgu- ja infoturbele. Selleks peaks amet toetama liidu tihedamat kaasamist ning koostööd kolmandate riikide ja rahvusvaheliste organisatsioonidega, pakkudes vajaduse korral asjaomastele liidu institutsioonidele, organitele ja asutustele vajalikku oskusteavet ja analüüsi.

Muudatusettepanek    33

Ettepanek võtta vastu määrus

Põhjendus 40

Komisjoni ettepanek

Muudatusettepanek

(40)  Liikmesriikide ja komisjoni esindajatest koosnev haldusnõukogu peaks kindlaks määrama ameti tegevuse üldsuuna ning tagama, et amet täidab oma ülesandeid vastavalt käesolevale määrusele. Haldusnõukogule tuleks anda õigus koostada ameti eelarve ja kontrollida selle täitmist, võtta vastu kohased finantseeskirjad, kehtestada ameti otsuste tegemiseks läbipaistev kord, võtta vastu ameti ühtne programmdokument, võtta vastu ameti töökord, nimetada ametisse tegevdirektor ning otsustada tegevdirektori ametiaja pikendamise ja tema ametiaja lõpetamise üle.

(40)  Liikmesriikide ja komisjoni ning ameti eesmärkide jaoks asjaomaste sidusrühmade esindajatest koosnev haldusnõukogu peaks kindlaks määrama ameti tegevuse üldsuuna ning tagama, et amet täidab oma ülesandeid vastavalt käesolevale määrusele. Haldusnõukogule tuleks anda õigus koostada ameti eelarve ja kontrollida selle täitmist, võtta vastu kohased finantseeskirjad, kehtestada ameti otsuste tegemiseks läbipaistev kord, võtta vastu ameti ühtne programmdokument, võtta vastu ameti töökord, nimetada ametisse tegevdirektor ning otsustada tegevdirektori ametiaja pikendamise ja tema ametiaja lõpetamise üle. Ameti ülimalt tehnilisi ja teaduslikke ülesandeid silmas pidades peaksid haldusnõukokku kuuluma liikmed, kes on asjakohase kogemusega kõrgetasemeliste eksperditeadmistega ameti tegevusvaldkonda kuuluvates küsimustes.

Muudatusettepanek    34

Ettepanek võtta vastu määrus

Põhjendus 41

Komisjoni ettepanek

Muudatusettepanek

(41)  Ameti nõuetekohaseks ja tulemuslikuks toimimiseks peaksid komisjon ja liikmesriigid tagama, et haldusnõukogu liikmeteks nimetatavatel isikutel on vajalikud erialateadmised ja kogemused. Komisjon ja liikmesriigid peaksid püüdma piirata oma esindajate vahetumist haldusnõukogus, et tagada selle töö järjepidevus.

(41)  Ameti nõuetekohaseks ja tulemuslikuks toimimiseks peaksid komisjon ja liikmesriigid tagama, et haldusnõukogu liikmeteks nimetatavatel isikutel on vajalikud erialateadmised ja kogemused. Komisjon ja liikmesriigid peaksid püüdma piirata oma esindajate vahetumist haldusnõukogus, et tagada selle töö järjepidevus. Kuna ameti tööks vajalikud oskused on suure turuväärtusega, tuleb tagada, et kõikidele ameti töötajatele pakutav palk ja sotsiaalsed tingimused oleksid konkurentsivõimelised ning et ametis töötamise kasuks saaksid otsustada parimad eksperdid.

Selgitus

Piisaval tasemel asjatundlikkuse tagamiseks peab ENISA olema äärmiselt tiheda konkurentsiga turul konkurentsivõimeline tööandja.

Muudatusettepanek    35

Ettepanek võtta vastu määrus

Põhjendus 42

Komisjoni ettepanek

Muudatusettepanek

(42)  Ameti sujuvaks toimimiseks on tarvis, et tegevdirektor nimetataks ametisse silmas pidades tema teeneid, dokumenteeritud haldamis- ja juhtimisoskust ning küberturvalisuse alaseid teadmisi ja kogemusi ning et tegevdirektori ülesandeid täidetaks täiesti sõltumatult. Tegevdirektor peaks pärast komisjoniga konsulteerimist koostama ettepaneku ameti tööprogrammi kohta ning võtma kõik vajalikud meetmed ameti tööprogrammi nõuetekohase täitmise tagamiseks. Tegevdirektor peaks koostama igal aastal haldusnõukogule esitatava aruande, koostama ameti tulude ja kulude kalkulatsiooni eelnõu ning vastutama eelarve täitmise eest. Lisaks peaks tegevdirektoril olema võimalus luua ajutisi töörühmi selleks, et käsitleda eelkõige teaduslikke, tehnilisi, juriidilisi või sotsiaal-majanduslikke küsimusi. Tegevdirektor peaks tagama, et ajutistesse töörühmadesse valitakse liikmed kõige põhjalikumate erialateadmiste põhjal, võttes nõuetekohaselt arvesse, et seal oleksid (lähtuvalt sellest, kuidas see on konkreetset küsimust arvestades asjakohane) tasakaalustatult esindatud liikmesriikide riiklikud haldusorganid, liidu institutsioonid ja erasektor, sealhulgas majandusringkonnad, kasutajad ning võrgu- ja infoturbe alal pädevad teaduseksperdid.

(42)  Ameti sujuvaks toimimiseks on tarvis, et tegevdirektor nimetataks ametisse silmas pidades tema teeneid, dokumenteeritud haldamis- ja juhtimisoskust ning küberturvalisuse alaseid teadmisi ja kogemusi ning et tegevdirektori ülesandeid täidetaks täiesti sõltumatult. Tegevdirektor peaks pärast komisjoniga konsulteerimist koostama ettepaneku ameti tööprogrammi kohta ning võtma kõik vajalikud meetmed ameti tööprogrammi nõuetekohase täitmise tagamiseks. Tegevdirektor peaks koostama igal aastal haldusnõukogule esitatava aruande, koostama ameti tulude ja kulude kalkulatsiooni eelnõu ning vastutama eelarve täitmise eest. Lisaks peaks tegevdirektoril olema võimalus luua ajutisi töörühmi selleks, et käsitleda eelkõige teaduslikke, tehnilisi, juriidilisi või sotsiaal-majanduslikke küsimusi. Tegevdirektor peaks tagama, et ajutistesse töörühmadesse valitakse liikmed kõige põhjalikumate erialateadmiste põhjal, võttes nõuetekohaselt arvesse, et seal oleksid (lähtuvalt sellest, kuidas see on konkreetset küsimust arvestades asjakohane) tasakaalustatult ja ka soolises tasakaalus esindatud liikmesriikide riiklikud haldusorganid, liidu institutsioonid ja erasektor, sealhulgas majandusringkonnad, kasutajad ning võrgu- ja infoturbe alal pädevad teaduseksperdid.

Muudatusettepanek    36

Ettepanek võtta vastu määrus

Põhjendus 44

Komisjoni ettepanek

Muudatusettepanek

(44)  Ametil peaks olema nõuandva organina alaline sidusrühm, mis tagaks regulaarse dialoogi erasektori, tarbijate organisatsioonide ja teiste asjaomaste sidusrühmadega. Tegevdirektori ettepanekul haldusnõukogu asutatud alaline sidusrühm peaks keskenduma sidusrühmade jaoks olulistele küsimustele ja juhtima neile ameti tähelepanu. Alalise sidusrühma koosseis ja ülesanded (eelkõige tuleb rühmaga konsulteerida tööprogrammi projekti üle) peaksid tagama sidusrühmade piisava esindatuse ameti töös.

(44)  Ametil peaks olema nõuandva organina ENISA nõuanderühm, mis tagaks regulaarse dialoogi erasektori, tarbijate organisatsioonide, teadusasutuste ja teiste asjaomaste sidusrühmadega. Tegevdirektori ettepanekul haldusnõukogu asutatud ENISA nõuanderühm peaks keskenduma sidusrühmade jaoks olulistele küsimustele ja juhtima neile ameti tähelepanu. Alalise sidusrühma koosseis ja ülesanded (eelkõige tuleb rühmaga konsulteerida tööprogrammi projekti üle) peaksid tagama sidusrühmade piisava esindatuse ameti töös. Arvestades, kui olulised on sertifitseerimisnõuded asjade interneti usaldusväärsuse tagamiseks, kaalub komisjon konkreetsete rakendusmeetmete võtmist, millega tagatakse asjade interneti seadmete turvastandardite ühtlustamine kogu ELis.

Muudatusettepanek    37

Ettepanek võtta vastu määrus

Põhjendus 44 a (uus)

Komisjoni ettepanek

Muudatusettepanek

 

(44 a)  Ametil peaks olema nõuandva organina sidusrühmade sertifitseerimisrühm, et tagada regulaarne dialoog erasektori, tarbijate organisatsioonide, teadusasutuste ja teiste asjaomaste sidusrühmadega. Tegevdirektori loodud sidusrühmade sertifitseerimisrühm peaks koosnema üldisest nõuandekomiteest, kes esitab ettepanekuid selle kohta, millised IKT tooted ja teenused tuleks tulevikus hõlmata Euroopa IT-turvalisuse sertifitseerimise kavadega, ning ajutised komiteed, kes esitavad ettepanekuid Euroopa küberturvalisuse sertifitseerimise ettevalmistavate kavade esildamiseks, koostamiseks ja vastuvõtmiseks.

Muudatusettepanek    38

Ettepanek võtta vastu määrus

Põhjendus 46

Komisjoni ettepanek

Muudatusettepanek

(46)  Et tagada ameti täielik autonoomia ja sõltumatus ning võimaldada tal täita uusi ja lisaülesandeid, sealhulgas kiireloomulisi erakorralisi ülesandeid, tuleks ametile eraldada piisav ja autonoomne eelarve, mille peamine tulu tuleb liidu osamaksest ja ameti töös osalevate kolmandate riikide sissemaksetest. Enamik ameti töötajaid peaks olema otseselt tegev ameti manaadi rakendamises. Asukohaliikmesriigil või mis tahes muul liikmesriigil peaks olema lubatud teha ameti tuludesse vabatahtlikult sissemakseid. Liidu eelarvemenetluse kohaldamist tuleks jätkata mis tahes subsiidiumide suhtes, mida makstakse Euroopa Liidu üldeelarvest. Lisaks sellele peaks ameti raamatupidamisarvestust läbipaistvuse ja vastutuse tagamiseks auditeerima kontrollikoda.

(46)  Et tagada ameti täielik autonoomia ja sõltumatus ning võimaldada tal täita uusi ja lisaülesandeid, sealhulgas kiireloomulisi erakorralisi ülesandeid, tuleks ametile eraldada piisav ja autonoomne eelarve, mille peamine tulu tuleb liidu osamaksest ja ameti töös osalevate kolmandate riikide sissemaksetest. Piisav eelarve on ülioluline tagamaks, et ametil on kõigi oma kasvavate ülesannete ja eesmärkide täitmiseks vajalik suutlikkus. Enamik ameti töötajaid peaks olema otseselt tegev ameti manaadi rakendamises. Asukohaliikmesriigil või mis tahes muul liikmesriigil peaks olema lubatud teha ameti tuludesse vabatahtlikult sissemakseid. Liidu eelarvemenetluse kohaldamist tuleks jätkata mis tahes subsiidiumide suhtes, mida makstakse Euroopa Liidu üldeelarvest. Lisaks sellele peaks ameti raamatupidamisarvestust läbipaistvuse, vastutuse ja kulude tasuvuse tagamiseks auditeerima kontrollikoda.

Muudatusettepanek    39

Ettepanek võtta vastu määrus

Põhjendus 47

Komisjoni ettepanek

Muudatusettepanek

(47)  Vastavushindamine on hindamisprotsess, mille käigus hinnatakse, kas toote, protsessi, teenuse, süsteemi, isiku või asutusega seotud erinõuded on täidetud. Käesoleva määruse kohaldamisel tuleks sertifitseerimist käsitada teatavat liiki vastavushindamisena, mis puudutab toote, protsessi, teenuse, süsteemi või nende kombinatsiooni (edaspidi „IKT tooted ja teenused“) küberturvalisuse elemente ja mida teostab sõltumatu kolmas isik, mitte tootja või teenusepakkuja. Sertifitseerimine iseenesest ei taga, et sertifitseeritud IKT tooted ja teenused on küberturvalised. Pigem on see menetlus ja tehniline metoodika tõendamaks, et IKT tooteid ja teenuseid on kontrollitud ja et need vastavad teatavatele küberturvalisuse nõuetele, mis on sätestatud mujal, näiteks tehnilistes standardites.

(47)  Vastavushindamine on hindamisprotsess, mille käigus hinnatakse, kas toote, protsessi, teenuse, süsteemi, isiku või asutusega seotud erinõuded on täidetud. Käesoleva määruse kohaldamisel tuleks sertifitseerimist käsitada teatavat liiki vastavushindamisena, mis puudutab toote, protsessi, teenuse, süsteemi või nende kombinatsiooni (edaspidi „IKT tooted, protsessid ja teenused“) küberturvalisuse elemente ja mida teostab sõltumatu kolmas isik, või juhul, kui see on lubatud, tootja või teenusepakkuja enesehindamise teel. Enesehindamise võib läbi viia käesolevas määruses täpsustatud tootja, VKE või teenuseosutaja ning, kui see on asjakohane, nii nagu on ette nähtud uues õigusraamistikus ja selle kohaselt. Enesehindamise võib korraldada tootja või käitaja, kui küberturvalisuse intsidendi toimumise tõenäosus ja/või tõenäosus, et taoline intsident tekitab olulist kahju ühiskonnale või selle suurele osale, ei ole eeldatavalt suur ega märkimisväärne, võttes arvesse tootja või teenuseosutaja poolt kõnealusele tootele või teenusele ette nähtud kasutusotstarvet. Sertifitseerimine iseenesest ei taga, et sertifitseeritud IKT tooted, protsessid ja teenused on küberturvalised, ning tarbijaid ja ettevõtjaid tuleb sellest nõuetekohaselt teavitada. Pigem on see menetlus ja tehniline metoodika tõendamaks, et IKT tooteid, protsesse ja teenuseid on kontrollitud ja et need vastavad teatavatele küberturvalisuse nõuetele, mis on sätestatud mujal, näiteks tehnilistes standardites. Tehnilised standardid hõlmavad viidet sellele, kas IKT toode, protsess või teenus on võimeline täitma oma tavaülesandeid, kui ühendus internetiga puudub.

Muudatusettepanek    40

Ettepanek võtta vastu määrus

Põhjendus 48

Komisjoni ettepanek

Muudatusettepanek

(48)  Küberturvalisuse sertifitseerimisel on tähtis ülesanne IKT toodete ja teenuste turvalisuse ja nende vastu usalduse suurendamises. Digitaalne ühtne turg ning eelkõige andmepõhine majandus ja asjade internet saavad olla edukad vaid juhul, kui avalikkusel on kindlustunne, et sellised tooted ja teenused pakuvad teatavat küberturvalisuse taset. Internetiühendusega ja automatiseeritud autod, elektroonilised meditsiiniseadmed, tööstuslikud automatiseeritud juhtimissüsteemid või arukad võrgud on vaid mõned näited sektoritest, kus sertifitseerimist juba ulatuslikult kasutatakse või tõenäoliselt hakatakse lähitulevikus kasutama. Võrgu- ja infoturbe direktiiviga reguleeritud sektorid on ka sektorid, kus küberturvalisuse sertifitseerimine on äärmiselt oluline.

(48)  Euroopa küberturvalisuse sertifitseerimisel on vältimatult oluline ülesanne IKT toodete, protsesside ja teenuste turvalisuse ja nende vastu usalduse suurendamises. Digitaalne ühtne turg ning eelkõige andmepõhine majandus ja asjade internet saavad olla edukad vaid juhul, kui avalikkusel on kindlustunne, et sellised tooted ja teenused pakuvad kõrget küberturvalisuse taset. Internetiühendusega ja automatiseeritud autod, elektroonilised meditsiiniseadmed, tööstuslikud automatiseeritud juhtimissüsteemid või arukad võrgud on vaid mõned näited sektoritest, kus sertifitseerimist juba ulatuslikult kasutatakse või tõenäoliselt hakatakse lähitulevikus kasutama. Võrgu- ja infoturbe direktiiviga reguleeritud sektorid on ka sektorid, kus küberturvalisuse sertifitseerimine on äärmiselt oluline.

Muudatusettepanek    41

Ettepanek võtta vastu määrus

Põhjendus 49

Komisjoni ettepanek

Muudatusettepanek

(49)  2016. aasta teatises „Euroopa kübervastupidavusvõime süsteemi tugevdamine ning konkurentsivõimelise ja uuendusliku küberjulgeolekutööstuse soodustamine“ tõi komisjon välja vajaduse kvaliteetsete, taskukohaste ja koostalitlusvõimeliste küberturvalisuse toodete ja -lahenduste järele. IKT toodete ja teenuste pakkumine ühtsel turul on endiselt geograafiliselt väga killustatud. Selle põhjuseks on asjaolu, et küberturvalisuse tööstus on Euroopas peamiselt arenenud riikliku, täpsemalt valitsuse nõudluse najal. Lisaks kuulub kübeturvalisuse ühtse turu kitsaskohtade hulka koostalitusvõimeliste lahenduste (tehniliste standardite), tavade ja kogu ELi hõlmavate sertifitseerimismehhanismide puudumine. Ühest küljest teeb see riiklikul, Euroopa ja üleilmsel tasandil konkureerimise Euroopa ettevõtjate jaoks keerukaks. Teisest küljest tähendab see üksikisikute ja ettevõtjate jaoks võimaliku ja kasutatava küberturvalisuse tehnoloogia kättesaadavust väiksemas valikus. Euroopa digitaalse ühtse turu strateegia rakendamise vahekokkuvõttes rõhutas komisjon vajadust turvaliste võrgustatud toodete ja süsteemide järele ning märkis, et Euroopa IKT turvalisuse raamistiku loomine, millega kehtestatakse õigusnormid selle kohta, kuidas korraldada IKT turvalisuse sertifitseerimist liidus, võib aidata säilitada usaldust interneti vastu ja vähendada küberturvalisuse turu praegust killustatust.

(49)  2016. aasta teatises „Euroopa kübervastupidavusvõime süsteemi tugevdamine ning konkurentsivõimelise ja uuendusliku küberjulgeolekutööstuse soodustamine“ tõi komisjon välja vajaduse kvaliteetsete, taskukohaste ja koostalitlusvõimeliste küberturvalisuse toodete ja -lahenduste järele. IKT toodete, protsesside ja teenuste pakkumine ühtsel turul on endiselt geograafiliselt väga killustatud. Selle põhjuseks on asjaolu, et küberturvalisuse tööstus on Euroopas peamiselt arenenud riikliku, täpsemalt valitsuse nõudluse najal. Lisaks kuulub kübeturvalisuse ühtse turu kitsaskohtade hulka koostalitusvõimeliste lahenduste (tehniliste standardite), tavade ja kogu ELi hõlmavate sertifitseerimismehhanismide puudumine. Ühest küljest teeb see riiklikul, Euroopa ja üleilmsel tasandil konkureerimise Euroopa ettevõtjate jaoks keerukaks. Teisest küljest tähendab see üksikisikute ja ettevõtjate jaoks võimaliku ja kasutatava küberturvalisuse tehnoloogia kättesaadavust väiksemas valikus. Euroopa digitaalse ühtse turu strateegia rakendamise vahekokkuvõttes rõhutas komisjon vajadust turvaliste võrgustatud toodete ja süsteemide järele ning märkis, et Euroopa IKT turvalisuse raamistiku loomine, millega kehtestatakse õigusnormid selle kohta, kuidas korraldada IKT turvalisuse sertifitseerimist liidus, võib aidata säilitada usaldust interneti vastu ja vähendada küberturvalisuse turu praegust killustatust.

Muudatusettepanek    42

Ettepanek võtta vastu määrus

Põhjendus 50

Komisjoni ettepanek

Muudatusettepanek

(50)  Praegu kasutatakse IKT toodete ja teenuste küberturvalisuse sertifitseerimist ainult piiratud ulatuses. Kui sertifitseerimine on olemas, siis peamiselt liikmesriigi tasandil või tööstusest lähtuvate kavade raames. Sellistes tingimustes ei tunnusta teised liikmesriigid üldiselt ühe riigi küberturvalisuse asutuse poolt välja antud sertifikaati. Seega võib juhtuda, et ettevõtted peavad sertifitseerima oma tooted ja teenused mitmes liikmesriigis, kus nad tegutsevad, näiteks et osaleda riiklikes hankemenetlustes. Lisaks sellele paistab, et kuigi on tekkimas uusi kavasid, ei ole ühtset ja terviklikku lähenemisviisi küberturvalisuse horisontaalsetele küsimustele, näiteks asjade interneti valdkonnas. Olemasolevatel kavadel on märkimisväärseid puudujääke ning erinevusi tootehõlmavuses, usaldusväärsuse tasemetes, sisulistes kriteeriumides ja tegelikus kasutamises.

(50)  Praegu kasutatakse IKT toodete, protsesside ja teenuste küberturvalisuse sertifitseerimist ainult piiratud ulatuses. Kui sertifitseerimine on olemas, siis peamiselt liikmesriigi tasandil või tööstusest lähtuvate kavade raames. Sellistes tingimustes ei tunnusta teised liikmesriigid üldiselt ühe riigi küberturvalisuse asutuse poolt välja antud sertifikaati. Seega võib juhtuda, et ettevõtted peavad sertifitseerima oma tooted, protsessid ja teenused mitmes liikmesriigis, kus nad tegutsevad, näiteks et osaleda riiklikes hankemenetlustes, see aga suurendab kulusid. Lisaks sellele paistab, et kuigi on tekkimas uusi kavasid, ei ole ühtset ja terviklikku lähenemisviisi küberturvalisuse horisontaalsetele küsimustele, näiteks asjade interneti valdkonnas. Olemasolevatel kavadel on märkimisväärseid puudujääke ning erinevusi tootehõlmavuses, riskipõhise usaldusväärsuse tasemetes, sisulistes kriteeriumides ja tegelikus kasutamises. Vastastikusel tunnustamisel ja liikmesriikidevahelisel usaldusel on seetõttu oluline roll. ENISA-l on tähtis roll liikmesriikide abistamisel, et töötada välja usaldusväärne institutsiooniline struktuur ja arendada eksperditeadmisi võimalike küberrünnete vastase kaitse valdkonnas. Vajalik on juhtumipõhine lähenemisviis, mis aitaks tagada, et teenuste, protsesside ja toodete suhtes kohaldatakse asjakohast sertifitseerimiskava. Peale selle on vaja riskipõhist lähenemisviisi riskide tõhusaks avastamiseks ja leevendamiseks, tunnistades samas, et ühte kõigile sobivat kava ei ole võimalik rakendada.

Muudatusettepanek    43

Ettepanek võtta vastu määrus

Põhjendus 52

Komisjoni ettepanek

Muudatusettepanek

(52)  Eelnevat arvestades on vaja luua Euroopa küberturvalisuse sertifitseerimise raamistik, milles kehtestatakse välja töötatavate Euroopa küberturvalisuse sertifitseerimise kavade peamised horisontaalsed nõuded ning mis võimaldab tunnustada ja kasutada IKT toodete ja teenuste sertifikaate kõigis liikmesriikides. Euroopa raamistikul peaks olema kaks eesmärki: ühest küljest peaks see aitama suurendada usaldust nende kavade kohaselt sertifitseeritud IKT toodete ja teenuste vastu. Teisest küljest peaks see vältima üksteisele vastukäivate või kattuvate riiklike küberturvalisuse sertifikaatide paljusust ja seeläbi vähendama digitaalsel ühtsel turul tegutsevate ettevõtjate kulusid. Kavad peaksid olema mittediskrimineerivad ning põhinema rahvusvahelistel ja/või ELi standarditel, välja arvatud juhul, kui need standardid on ebatõhusad või ebasobivad ELi õiguspäraste eesmärkide saavutamiseks selles valdkonnas.

(52)  Eelnevat arvestades on vaja võtta kasutusele ühine käsitus ja luua Euroopa küberturvalisuse sertifitseerimise raamistik, milles kehtestatakse välja töötatavate Euroopa küberturvalisuse sertifitseerimise kavade peamised horisontaalsed nõuded ning mis võimaldab tunnustada ja kasutada IKT toodete, protsesside ja teenuste sertifikaate kõigis liikmesriikides. Seejuures on oluline tugineda olemasolevatele riiklikele ja rahvusvahelistele kavadele ning vastastikuse tunnustamise süsteemidele, eelkõige kõrgemate ametnike infosüsteemide turbe rühmale, ning võimaldada selliste süsteemide kohastelt olemasolevatelt kavadelt sujuvat üleminekut uue Euroopa raamistiku kohastele kavadele. Euroopa raamistikul peaks olema kaks eesmärki: ühest küljest peaks see aitama suurendada usaldust nende kavade kohaselt sertifitseeritud IKT toodete, protsesside ja teenuste vastu. Teisest küljest peaks see vältima üksteisele vastukäivate või kattuvate riiklike küberturvalisuse sertifikaatide paljusust ja seeläbi vähendama digitaalsel ühtsel turul tegutsevate ettevõtjate kulusid. Kui Euroopa küberturvalisuse sertifitseerimise kava on riikliku kava asendanud, tuleks juhtudel, kus oli nõutav sertifitseerimine riikliku kava alusel, lugeda kehtivaks Euroopa kava alusel väljastatud sertifikaadid. Kavades tuleks juhinduda sisseprojekteeritud turbe põhimõttest ja määruses (EL) 2016/679 osutatud põhimõtetest. Kavad peaksid ühtlasi olema mittediskrimineerivad ning põhinema rahvusvahelistel ja/või ELi standarditel, välja arvatud juhul, kui need standardid on ebatõhusad või ebasobivad ELi õiguspäraste eesmärkide saavutamiseks selles valdkonnas.

Muudatusettepanek    44

Ettepanek võtta vastu määrus

Põhjendus 52 a (uus)

Komisjoni ettepanek

Muudatusettepanek

 

(52 a)  Euroopa küberturvalisuse sertifitseerimise raamistik tuleb luua ühetaoliselt kõikides liikmesriikides, et vältida sertifikaatide ostlemise tava, mida põhjustab kulude ja nõuete erinevus liikmesriikides.

Muudatusettepanek    45

Ettepanek võtta vastu määrus

Põhjendus 52 b (uus)

Komisjoni ettepanek

Muudatusettepanek

 

(52 b)  Sertifitseerimiskavad peaksid tuginema sellele, mis on riiklikul ja rahvusvahelisel tasandil juba olemas. Seejuures tuleks õppida praegustest tugevatest külgedest ning hinnata puudusi ja need kõrvaldada.

Muudatusettepanek    46

Ettepanek võtta vastu määrus

Põhjendus 52 c (uus)

Komisjoni ettepanek

Muudatusettepanek

 

(52 c)  Selleks et tööstus suudaks ennetada pahatahtlikke rünnakuid ja ohte, on vaja paindlikke küberturvalisuse lahendusi, mistõttu tuleks iga sertifitseerimiskava puhul vältida kiire aegumise ohtu.

Muudatusettepanek    47

Ettepanek võtta vastu määrus

Põhjendus 53

Komisjoni ettepanek

Muudatusettepanek

(53)  Komisjonile tuleks anda volitused võtta vastu Euroopa küberturvalisuse sertifitseerimise kavad konkreetsete IKT toodete ja teenuste rühmade kohta. Neid kavu peaksid rakendama ja nende üle järelevalvet teostama riiklikud sertifitseerimise järelevalveasutused ning nende kavade kohaselt välja antud sertifikaadid peaksid kehtima ja olema tunnustatud kogu liidus. Tööstuse või muude eraorganisatsioonide rakendatavad sertifitseerimiskavad peaksid jääma väljapoole määruse kohaldamisala. Siiski võivad selliseid kavu haldavad asutused teha komisjonile ettepaneku kaaluda nende heakskiitmist Euroopa kavana.

(53)  Komisjonile tuleks anda volitused võtta vastu Euroopa küberturvalisuse sertifitseerimise kavad konkreetsete IKT toodete, protsesside ja teenuste rühmade kohta. Neid kavu peaksid rakendama ja nende üle järelevalvet teostama riiklikud sertifitseerimise järelevalveasutused ning nende kavade kohaselt välja antud sertifikaadid peaksid kehtima ja olema tunnustatud kogu liidus. Tööstuse või muude eraorganisatsioonide rakendatavad sertifitseerimiskavad peaksid jääma väljapoole määruse kohaldamisala. Siiski võivad selliseid kavu haldavad asutused teha komisjonile ettepaneku kaaluda nende heakskiitmist Euroopa kavana. Amet peaks tegema kindlaks tööstuses või eraorganisatsioonides juba rakendatavad kavad ja neid hindama, et valida välja parimad tavad, mis võiksid saada Euroopa kava osaks. Tööstussektori ettevõtjad võivad enne sertifitseerimist teha oma toodete või teenuste enesehindamise, näidates nii, et nende toode või teenus on nõudmise või vajaduse korral valmis sertifitseerimisprotsessiga alustama.

Muudatusettepanek    48

Ettepanek võtta vastu määrus

Põhjendus 53 a (uus)

Komisjoni ettepanek

Muudatusettepanek

 

(53 a)  Amet ja komisjon peaksid maksimaalselt ära kasutama ELi ja/või rahvusvahelisel tasandil juba olemasolevaid sertifitseerimiskavasid. ENISA-l peaks olema võime hinnata, millised juba kasutuses olevad kavad on eesmärgipärased ja mida saab koostöös ELi standardiorganisatsioonidega lisada Euroopa õigusaktidesse ja mida on võimalikult suurel määral rahvusvaheliselt tunnustatud. Olemasolevaid häid tavasid tuleks koguda ja liikmesriikide vahel jagada.

Muudatusettepanek    49

Ettepanek võtta vastu määrus

Põhjendus 54

Komisjoni ettepanek

Muudatusettepanek

(54)  Käesoleva määruse sätted ei tohiks mõjutada liidu õigusakte, milles on sätestatud konkreetsed eeskirjad IKT toodete ja teenuste sertifitseerimise kohta. Isikuandmete kaitse üldmäärus sisaldab sätteid selliste sertifitseerimismehhanismide ning andmekaitsepitserite ja -märgiste kasutuselevõtuks, mille abil saab tõendada, et vastutavate töötlejate ja volitatud töötlejate isikuandmete töötlemise toimingud vastavad kõnealusele määrusele. Sellised sertifitseerimismehhanismid ning andmekaitsepitserid ja -märgised peaksid võimaldama andmesubjektidel kiiresti hinnata asjakohaste toodete ja teenuste andmekaitse taset. Käesolev määrus ei piira andmetöötlustoimingute sertifitseerimist isikuandmete kaitse üldmääruse kohaselt, sealhulgas juhul, kui sellised toimingud sisalduvad toodetes või teenustes.

(54)  Käesoleva määruse sätted ei tohiks mõjutada liidu õigusakte, milles on sätestatud konkreetsed eeskirjad IKT toodete, protsesside ja teenuste sertifitseerimise kohta. Isikuandmete kaitse üldmäärus sisaldab sätteid selliste sertifitseerimismehhanismide ning andmekaitsepitserite ja -märgiste kasutuselevõtuks, mille abil saab tõendada, et vastutavate töötlejate ja volitatud töötlejate isikuandmete töötlemise toimingud vastavad kõnealusele määrusele. Sellised sertifitseerimismehhanismid ning andmekaitsepitserid ja -märgised peaksid võimaldama andmesubjektidel kiiresti hinnata asjakohaste toodete ja teenuste andmekaitse taset. Käesolev määrus ei piira andmetöötlustoimingute sertifitseerimist isikuandmete kaitse üldmääruse kohaselt, sealhulgas juhul, kui sellised toimingud sisalduvad toodetes või teenustes.

Muudatusettepanek    50

Ettepanek võtta vastu määrus

Põhjendus 55

Komisjoni ettepanek

Muudatusettepanek

(55)  Euroopa küberturvalisuse sertifitseerimise kavade eesmärk on kinnitada, et sellise kava kohaselt sertifitseeritud IKT tooted ja teenused vastavad kirjeldatud nõuetele. Nimetatud nõuded puudutavad võimet pidada teataval usaldusväärsuse tasemel vastu tegevustele, mille eesmärk on rikkuda salvestatud, edastatud või töödeldud andmete või nende toodete, protsesside, teenuste ja süsteemide asjaomaste funktsioonide või nende poolt pakutavate või nende kaudu juurdepääsetavate teenuste käideldavust, autentsust, terviklust või konfidentsiaalsust käesoleva määruse tähenduses. Käesolevas määruses ei ole võimalik üksikasjalikult kirjeldada kõigi IKT toodete ja teenuste suhtes kohaldatavaid küberturvalisuse nõudeid. IKT tooted ja teenused ning nendega seotud küberturvalisuse vajadused on nii mitmekesised, et on väga raske esitada üldiseid küberturvalisuse nõudeid, mis kehtiksid kõikjal. Seetõttu on vaja sertifitseerimise eesmärgil võtta kasutusele lai ja üldine küberturvalisuse mõiste, mida täiendab rida konkreetseid küberturvalisuse eesmärke, mida tuleb Euroopa küberturvalisuse sertifitseerimise kavade koostamisel arvesse võtta. Nende eesmärkide saavutamise meetodid konkreetsete IKT toodete ja teenuste puhul tuleks täpsustada üksikasjalikult igas individuaalses sertifitseerimiskavas, mille komisjon vastu võtab, näiteks viidates standarditele või tehnilistele kirjeldustele.

(55)  Euroopa küberturvalisuse sertifitseerimise kavade eesmärk on kinnitada, et sellise kava kohaselt sertifitseeritud IKT tooted, teenused ja protsessid vastavad kirjeldatud nõuetele. Nimetatud nõuded puudutavad võimet pidada teataval riski tasemel vastu tegevustele, mille eesmärk on rikkuda salvestatud, edastatud või töödeldud andmete või nende toodete, protsesside, teenuste ja süsteemide asjaomaste funktsioonide või nende poolt pakutavate või nende kaudu juurdepääsetavate teenuste käideldavust, autentsust, terviklust või konfidentsiaalsust käesoleva määruse tähenduses. Käesolevas määruses ei ole võimalik üksikasjalikult kirjeldada kõigi IKT toodete, teenuste ja protsesside suhtes kohaldatavaid küberturvalisuse nõudeid. IKT tooted, teenused ja protsessid ning nendega seotud küberturvalisuse vajadused on nii mitmekesised, et on väga raske esitada üldiseid küberturvalisuse nõudeid, mis kehtiksid kõikjal. Seetõttu on vaja sertifitseerimise eesmärgil võtta kasutusele lai ja üldine küberturvalisuse mõiste, mida täiendab rida konkreetseid küberturvalisuse eesmärke, mida tuleb Euroopa küberturvalisuse sertifitseerimise kavade koostamisel arvesse võtta. Nende eesmärkide saavutamise meetodid konkreetsete IKT toodete, teenuste ja protsesside puhul tuleks täpsustada üksikasjalikult igas individuaalses sertifitseerimiskavas, mille komisjon vastu võtab, näiteks viidates standarditele või tehnilistele kirjeldustele. Kõiki ettevõtjaid, kes osalevad konkreetses tarneahelas, tuleks innustada töötama välja turbestandardeid, tehnilisi norme ning sisseprojekteeritud turbe põhimõtteid toote, teenuse või protsessi elutsükli kõikides etappides ja neid vastu võtma; iga Euroopa küberturvalisuse sertifitseerimise kava tuleks koostada selle kohaldamisala jaoks.

Muudatusettepanek    51

Ettepanek võtta vastu määrus

Põhjendus 56

Komisjoni ettepanek

Muudatusettepanek

(56)  Komisjonile tuleks anda volitused paluda ENISA-l koostada ettevalmistav sertifitseerimiskava konkreetsete IKT toodete ja teenuste jaoks. Seejärel tuleks anda komisjonile volitused võtta ENISA esitatud ettevalmistava kava põhjal rakendusaktidega vastu Euroopa küberturvalisuse sertifitseerimise kava. Võttes arvesse käesolevas määruses määratletud üldeesmärki ja turvalisusega seotud eesmärke, tuleks komisjoni poolt vastu võetud Euroopa küberturvalisuse sertifitseerimise kavades täpsustada konkreetse kava sisu, ulatuse ja toimimise minimaalsed üksikasjad. Need peaksid hõlmama muu hulgas küberturvalisuse sertifikaadi ulatust ja sisu, sealhulgas hõlmatud IKT toodete ja teenuste kategooriad, küberturvalisuse nõuete üksikasjalik kirjeldus, näiteks viide standarditele või tehnilistele kirjeldustele, konkreetsed hindamiskriteeriumid ja -meetodid ning kavandatud usaldusväärsuse tase: baastase, märkimisväärne ja/või kõrge tase.

(56)  Komisjonile tuleks anda volitused paluda ENISA-l koostada ettevalmistav sertifitseerimiskava konkreetsete IKT toodete, protsesside ja teenuste jaoks lähtudes õigustatud põhjustest, milleks on olemasolevad siseriiklikud küberturvalisuse sertifitseerimise kavad, mis killustavad siseturgu, olemasolev või prognoositav vajadus toetada liidu õigusakte või liikmesriikide sertifitseerimisrühma või sidusrühmade sertifitseerimisrühma arvamus. Pärast komisjoni taotluse alusel ENISA esitatud kandidaatide sertifitseerimiskavade hindamist tuleks komisjonile anda volitused võtta delegeeritud õigusaktidega vastu Euroopa küberturvalisuse sertifitseerimise kavad. Võttes arvesse käesolevas määruses määratletud üldeesmärki ja turvalisusega seotud eesmärke, tuleks nendes Euroopa küberturvalisuse sertifitseerimise kavades täpsustada konkreetse kava sisu, ulatuse ja toimimise minimaalsed üksikasjad. Need peaksid hõlmama muu hulgas küberturvalisuse sertifikaadi ulatust ja sisu, sealhulgas hõlmatud IKT toodete ja teenuste kategooriad, küberturvalisuse nõuete üksikasjalik kirjeldus, näiteks viide standarditele või tehnilistele kirjeldustele, konkreetsed hindamiskriteeriumid ja -meetodid ning kavandatud usaldusväärsuse tase: baastase, märkimisväärne ja/või kõrge tase.

Muudatusettepanek    52

Ettepanek võtta vastu määrus

Põhjendus 56 a (uus)

Komisjoni ettepanek

Muudatusettepanek

 

(56 a)  Amet peaks olema teabealane kontaktpunkt Euroopa küberturvalisuse sertifitseerimise kavade valdkonnas. Ta peaks haldama veebisaiti, kus on esitatud kogu asjakohane teave, sealhulgas teave tühistatud sertifikaatide ja aegunud sertifikaatide ning riiklike sertifitseerimiste kohta. Amet peaks tagama, et piisav osa tema veebisaidi sisust on tavatarbijatele arusaadav.

Muudatusettepanek    53

Ettepanek võtta vastu määrus

Põhjendus 56 b (uus)

Komisjoni ettepanek

Muudatusettepanek

 

(56 b)  Usaldusväärsuse taseme kindlaksmääramine sertifikaatide puhul on vajalik selleks, et osutada lõpptarbijale, milliseid eeldatavaid küberohte on toote, protsessi või teenuse küberturbemeetmed kavandatud ära hoidma. Küberohud tuleb määratleda, võttes arvesse eeldatavat riski ning rünnaku autori või autorite võimeid, arvestades asjaomase IKT- toote, protsessi või teenuse eeldatavat kasutust. Usaldusväärsuse baastase tähendab võimet pidada vastu rünnakutele, mida on võimalik vältida elementaarsete küberturbemeetmetega ning mida saab hõlpsasti kontrollida tehniliste dokumentide läbivaatamisega. Märkimisväärne usaldusväärsuse tase tähendab võimet pidada vastu teadaolevat liiki rünnakutele, mille paneb toime teatava keerukusastmega, kuid piiratud vahenditega ründaja. Usaldusväärsuse kõrge tase tähendab võimet pidada vastu tundmatutele turvanõrkustele ja keerukatele rünnakutele, mis pannakse toime tipptasemel tehnikaga ja märkimisväärsete vahenditega, nagu näiteks rahastatud multidistsiplinaarsed meeskonnad.

Muudatusettepanek    54

Ettepanek võtta vastu määrus

Põhjendus 56 c (uus)

Komisjoni ettepanek

Muudatusettepanek

 

(56 c)  Riiklikest küberturvalisuse kavadest tuleneva siseturu killustatuse vältimiseks, tulevaste õigusaktide toetamiseks ning usaldusväärsuse ja turvalisuse suurendamiseks peaks komisjonil olema õigus võtta kooskõlas Euroopa Liidu toimimise lepingu artikliga 290 vastu delegeeritud õigusakte, milles sätestatakse prioriteedid seoses Euroopa küberturvalisuse sertifitseerimise, jooksva tööprogrammi vastuvõtmise ja Euroopa sertifitseerimiskavade vastuvõtmisega. On eriti oluline, et komisjon korraldaks oma ettevalmistava töö käigus asjakohaseid konsultatsioone, sealhulgas ekspertide tasandil, ja et kõnealused konsultatsioonid viidaks läbi kooskõlas 13. aprilli 2016. aasta institutsioonidevahelises parema õigusloome kokkuleppes sätestatud põhimõtetega. Eelkõige selleks, et tagada delegeeritud õigusaktide ettevalmistamises võrdne osalemine, saavad Euroopa Parlament ja nõukogu kõik dokumendid liikmesriikide ekspertidega samal ajal ning nende ekspertidel on pidev juurdepääs komisjoni eksperdirühmade koosolekutele, kus arutatakse delegeeritud õigusaktide ettevalmistamist.

Muudatusettepanek    55

Ettepanek võtta vastu määrus

Põhjendus 56 d (uus)

Komisjoni ettepanek

Muudatusettepanek

 

(56 d)  Lisaks muudele kõikide Euroopa küberturvalisuse sertifitseerimise kavadega seotud hindamismeetoditele ja -menetlustele tuleks liidu tasandil edendada ka eetilist häkkimist, mille eesmärk on välja selgitada seadmete ja infosüsteemide nõrgad ja haavatavad kohad, ennetades kuritahtlike kavatsustega häkkerite tegevust ja oskusi.

Muudatusettepanek    56

Ettepanek võtta vastu määrus

Põhjendus 57

Komisjoni ettepanek

Muudatusettepanek

(57)  Euroopa küberturvalisuse sertifitseerimise kasutamine peaks jääma vabatahtlikuks, kui liidu või siseriiklikes õigusaktides pole sätestatud teisiti. Käesoleva määruse eesmärkide saavutamiseks ja siseturu killustumise vältimiseks tuleks siiski lõpetada riiklike küberturvalisuse sertifitseerimise kavade või menetluste kohaldamine Euroopa küberturvalisuse sertifitseerimise kavaga hõlmatud IKT toodete ja teenuste suhtes alates kuupäevast, mille komisjon on rakendusaktiga kehtestanud. Lisaks ei peaks liikmesriigid kehtestama uusi riiklikke küberturvalisuse sertifitseerimise kavasid IKT toodetele ja teenustele, mis on juba kaetud kehtiva Euroopa küberturvalisuse sertifitseerimise kavaga.

(57)  Euroopa küberturvalisuse sertifitseerimise kasutamine peaks jääma vabatahtlikuks, kui liidu või siseriiklikes õigusaktides pole sätestatud teisiti. Käesoleva määruse eesmärkide saavutamiseks ja siseturu killustumise vältimiseks tuleks siiski lõpetada riiklike küberturvalisuse sertifitseerimise kavade või menetluste kohaldamine Euroopa küberturvalisuse sertifitseerimise kavaga hõlmatud IKT toodete, protsesside ja teenuste suhtes alates kuupäevast, mille komisjon on delegeeritud õigusaktiga kehtestanud. Lisaks ei peaks liikmesriigid kehtestama uusi riiklikke küberturvalisuse sertifitseerimise kavasid IKT toodetele ja teenustele, mis on juba kaetud kehtiva Euroopa küberturvalisuse sertifitseerimise kavaga. Käesolev määrus ei tohiks siiski piirata riiklike kavade kohaldamist, mida liikmesriigid haldavad suveräänsete siseriiklike vajaduste rahuldamiseks kasutatavate IKT toodete, protsesside ja teenuste puhul.

Muudatusettepanek    57

Ettepanek võtta vastu määrus

Põhjendus 57 a (uus)

Komisjoni ettepanek

Muudatusettepanek

 

(57 a)  Selleks et anda tarbijale rohkem teavet ja võimaldada tarbijal teha läbimõeldud valik, kehtestatakse kohustus väljastada tootedeklaratsioon, mis sisaldab struktureeritud teavet toote, protsessi või teenuse sertifitseerimise kohta.

Muudatusettepanek    58

Ettepanek võtta vastu määrus

Põhjendus 57 b (uus)

Komisjoni ettepanek

Muudatusettepanek

 

(57 b)  Uute Euroopa küberturvalisuse kavade ettepaneku tegemisel peaksid ENISA ja teised asjaomased asutused pöörama asjakohast tähelepanu ettepaneku konkurentsi mõjutavale dünaamikale, tagades eelkõige, et kui asjakohases sektoris tegutseb palju väikesi ja keskmise suurusega ettevõtjaid (nt tarkvara arendamisel), ei takista sertifitseerimiskavad uute ettevõtjate sektorisse sisenemist ja innovatsiooni.

Muudatusettepanek    59

Ettepanek võtta vastu määrus

Põhjendus 57 c (uus)

Komisjoni ettepanek

Muudatusettepanek

 

(57 c)  Euroopa küberturvalisuse kavad aitavad ühtlustada ja ühendada küberturvalisuse tavasid ELis. Neist ei tohi aga saada küberturvalisuse miinimumtase. Euroopa küberturvalisuse kavade koostamisel tuleks samuti arvesse võtta ja võimaldada innovaatilist arengut küberturvalisuse valdkonnas.

Muudatusettepanek    60

Ettepanek võtta vastu määrus

Põhjendus 58

Komisjoni ettepanek

Muudatusettepanek

(58)  Kui Euroopa küberturvalisuse sertifitseerimise kava on vastu võetud, peaksid IKT toodete tootjad või IKT teenuste osutajad saama esitada enda valitud vastavushindamisasutusele taotluse oma toodete või teenuste sertifitseerimiseks. Kui vastavushindamisasutused vastavad käesolevas määruses sätestatud teatavatele konkreetsetele nõuetele, peaks akrediteerimisasutus need akrediteerima. Akrediteeringu saab anda maksimaalselt viieks aastaks ja selle kehtivust võib pikendada samadel tingimustel senikaua, kuni vastavushindamisasutus vastab nõuetele. Akrediteerimisasutus peaks vastavushindamisasutuse akrediteerimise tühistama, kui akrediteerimise tingimused ei ole täidetud või ei ole enam täidetud või asutuse poolt võetavad meetmed rikuvad käesolevat määrust.

(58)  Kui Euroopa küberturvalisuse sertifitseerimise kava on vastu võetud, peaksid IKT toodete tootjad või IKT protsesside või teenuste osutajad saama esitada kõikjal liidus enda valitud vastavushindamisasutusele taotluse oma toodete või teenuste sertifitseerimiseks. Kui vastavushindamisasutused vastavad käesolevas määruses sätestatud teatavatele konkreetsetele nõuetele, peaks akrediteerimisasutus need akrediteerima. Akrediteeringu saab anda maksimaalselt viieks aastaks ja selle kehtivust võib pikendada samadel tingimustel senikaua, kuni vastavushindamisasutus vastab nõuetele. Akrediteerimisasutus peaks vastavushindamisasutuse akrediteerimise tühistama, kui akrediteerimise tingimused ei ole täidetud või ei ole enam täidetud või asutuse poolt võetavad meetmed rikuvad käesolevat määrust. Et vältida õiguslikku arbitraaži, peaks amet tegema auditeid, tagamaks et vastavushindamisasutuste kvaliteedi ja hoolsuse tase on võrdväärne. Tulemustest tuleks teatada ametile, komisjonile ja Euroopa Parlamendile ning need tuleks teha üldsusele kättesaadavaks.

Muudatusettepanek    61

Ettepanek võtta vastu määrus

Põhjendus 58 a (uus)

Komisjoni ettepanek

Muudatusettepanek

 

(58 a)  Euroopa küberturvalisuse sertifitseerimise kohustuslik kasutamine peaks olema piiratud juhtudega, mille puhul riskianalüüs põhjendab kulusid tööstuse, kodanike ja tarbijate jaoks. Oluliste teenuste pakkumist katkestavad intsidendid võivad takistada majandustegevust, põhjustada olulist finantskahju, vähendada kasutajate usaldust ja tekitada liidu majandusele suurt kahju. Oluliste teenuste osutajate poolt Euroopa küberturvalisuse sertifitseerimise kohustuslik kasutamine peaks piirduma nende elementidega, mis on toimimise jaoks otsustavalt tähtsad, ning seda ei peaks kohaldama üldotstarbeliste tootete, protsesside ja teenuste suhtes, kuna see tekitaks tööstusele ja tarbijatele põhjendamatut kulu. Komisjon peaks tegema koostööd direktiivi (EL) 2016/1148 artikli 11 alusel loodud koostöörühmaga, et koostada loetelu selliste toodete, protsesside ja teenuste kategooriatest, mis on spetsiaalselt ette nähtud oluliste teenuste osutajate poolt kasutamiseks ning mille mittetoimimine intsidentide puhul võib oluliselt häirida olulise teenuse osutamist. Loetelu tuleks koostada järk-järgult ja seda tuleks vajaduse korral ajakohastada. Ainult sellesse loetellu kantud tooted, protsessid ja teenused peaksid olema oluliste teenuste osutajatele kohustuslikud.

Muudatusettepanek    62

Ettepanek võtta vastu määrus

Põhjendus 58 b (uus)

Komisjoni ettepanek

Muudatusettepanek

 

(58 b)  Liikmesriikide õigusaktides olevad ristviited, mis osutavad riiklikule standardile, mis Euroopa sertifitseerimiskava jõustumise tõttu enam õigusmõju ei avalda, võivad tootjate ja lõppkasutajate jaoks segadust põhjustada. Liikmesriigid peaksid aluslepingutest tulenevate kohustuste kohaselt kohandama siseriiklikke õigusakte Euroopa sertifitseerimiskava vastuvõtmise kajastamiseks, et tootjad ei jätkaks selliste tehniliste kirjelduste rakendamist, mis vastavad kehtivuse kaotanud riiklikele sertifikaatidele.

Muudatusettepanek    63

Ettepanek võtta vastu määrus

Põhjendus 59

Komisjoni ettepanek

Muudatusettepanek

(59)  Liikmesriike tuleb kohustada määrama ühe küberturvalisuse sertifitseerimise järelevalveasutuse, kes jälgiks nende territooriumil asutatud vastavushindamisasutuste ja nende väljastatud sertifikaatide vastavust käesoleva määruse ja vastavate küberturvalisuse sertifitseerimise kavade nõuetele. Riiklikud sertifitseerimise järelevalveasutused peavad käsitlema füüsiliste või juriidiliste isikute esitatud kaebusi seoses nende riigi territooriumil asutatud vastavushindamisasutuste väljastatud sertifikaatidega, uurima asjakohasel määral kaebuse sisu ja teavitama kaebuse esitajat mõistliku aja jooksul uurimise käigust ja tulemusest. Lisaks peavad nad tegema koostööd teiste riiklike sertifitseerimise järelevalveasutuste või muude avaliku sektori asutustega, sealhulgas jagades teavet IKT toodete ja teenuste võimaliku mittevastavuse kohta käesoleva määruse või konkreetsete küberturvalisuse sertifitseerimise kavade nõuetele.

(59)  Liikmesriike tuleb kohustada määrama ühe küberturvalisuse sertifitseerimise järelevalveasutuse, kes jälgiks nende territooriumil asutatud vastavushindamisasutuste ja nende väljastatud sertifikaatide vastavust käesoleva määruse ja vastavate küberturvalisuse sertifitseerimise kavade nõuetele, ning tagama, et Euroopa küberturvalisuse sertifikaate tunnustatakse nende territooriumil. Riiklikud sertifitseerimise järelevalveasutused peavad käsitlema füüsiliste või juriidiliste isikute esitatud kaebusi seoses nende riigi territooriumil asutatud vastavushindamisasutuste väljastatud sertifikaatidega või seoses nende riigi territooriumil sertifikaatide väidetava mittetunnustamisega, uurima asjakohasel määral kaebuse sisu ja teavitama kaebuse esitajat mõistliku aja jooksul uurimise käigust ja tulemusest. Lisaks peavad nad tegema koostööd teiste riiklike sertifitseerimise järelevalveasutuste või muude avaliku sektori asutustega, sealhulgas jagades teavet IKT toodete, protsesside ja teenuste võimaliku mittevastavuse kohta käesoleva määruse või konkreetsete küberturvalisuse sertifitseerimise kavade nõuetele või Euroopa küberturvalisuse sertifikaatide mittetunnustamise kohta. Peale selle peavad nad jälgima ja kontrollima, et vastavusdeklaratsioonid oleksid nõuetekohased ja et vastavushindamisasutused oleksid väljastanud Euroopa küberturvalisuse sertifikaadid vastavalt käesolevas määruses ja muu hulgas Euroopa küberturvalisuse sertifitseerimise rühma vastu võetud eeskirjades ning vastavas Euroopa küberturvalisuse sertifitseerimise kavas sätestatud nõuetele. Riiklike sertifitseerimise järelevalveasutuste vaheline tõhus koostöö on vajalik, et rakendada nõuetekohaselt Euroopa küberturvalisuse sertifitseerimise kavasid ning IKT toodete ja teenuste küberturvalisusega seotud tehnilisi nõudmisi. Komisjon peaks hõlbustama sellist teabevahetust, tehes kättesaadavaks üldise elektroonilise teabe tugisüsteemi, nagu turujärelevalve info- ja teavitussüsteem (ICSMS) ja kiire teabevahetuse süsteem (RAPEX), mida juba kasutavad turujärelevalveasutused vastavalt määrusele (EÜ) nr 765/2008.

Muudatusettepanek    64

Ettepanek võtta vastu määrus

Põhjendus 60

Komisjoni ettepanek

Muudatusettepanek

(60)  Et tagada Euroopa küberturvalisuse sertifitseerimise raamistiku järjekindel rakendamine, tuleks luua Euroopa küberturvalisuse sertifitseerimise rühm (edaspidi „rühm“), mis koosneb riiklikest sertifitseerimise järelevalveasutustest. Rühma peamised ülesanded peaksid olema nõustada ja abistada komisjoni töös, mille eesmärk on tagada Euroopa küberturvalisuse sertifitseerimise raamistiku järjepidev rakendamine ja kohaldamine; aidata ametit ja teha temaga tihedat koostööd ettevalmistavate küberturvalisuse sertifitseerimise kavade koostamisel; soovitada, et komisjon paluks ametil koostada ettevalmistav Euroopa küberturvalisuse sertifitseerimise kava ning võtta vastu komisjonile suunatud arvamusi seoses olemasolevate Euroopa küberturvalisuse sertifitseerimise kavade alalhoidmise ja läbivaatamisega;

(60)  Et tagada Euroopa küberturvalisuse sertifitseerimise raamistiku järjekindel rakendamine, tuleks luua liikmesriikide sertifitseerimisrühm, mis koosneb riiklikest sertifitseerimise järelevalveasutustest. Liikmesriikide sertifitseerimisrühma peamised ülesanded peaksid olema nõustada ja abistada komisjoni töös, mille eesmärk on tagada Euroopa küberturvalisuse sertifitseerimise raamistiku järjepidev rakendamine ja kohaldamine; aidata ametit ja teha temaga tihedat koostööd ettevalmistavate küberturvalisuse sertifitseerimise kavade koostamisel; soovitada, et komisjon paluks ametil koostada ettevalmistav Euroopa küberturvalisuse sertifitseerimise kava ning võtta vastu komisjonile suunatud arvamusi seoses olemasolevate Euroopa küberturvalisuse sertifitseerimise kavade alalhoidmise ja läbivaatamisega.

Muudatusettepanek    65

Ettepanek võtta vastu määrus

Põhjendus 60 a (uus)

Komisjoni ettepanek

Muudatusettepanek

 

(60 a)  Vastavushindamisasutuste pädevustasemete võrdväärsuse tagamiseks, vastastikuse tunnustamise lihtsustamiseks ning vastavushindamisasutuste väljastatud sertifikaatide ja vastavushindamise tulemuste üldise aktsepteerimise soodustamiseks on vaja, et riiklike sertifitseerimise järelevalveasutuste vahel toimiks range ja läbipaistev vastastikuse hindamise süsteem ja nad läbiksid sellise hindamise regulaarselt.

Muudatusettepanek    66

Ettepanek võtta vastu määrus

Põhjendus 60 b (uus)

Komisjoni ettepanek

Muudatusettepanek

 

(60 b)  Riiklike sertifitseerimise järelevalveasutuste vaheline tulemuslik koostöö on vastastikuse hindamise nõuetekohaseks rakendamiseks ja seoses piiriülese akrediteerimisega ülimalt oluline. Läbipaistvuse huvides on seetõttu vaja kehtestada riiklikele sertifitseerimise järelevalveasutustele kohustus vahetada omavahel teavet ning edastada asjakohane teave riiklikele ametiasutustele ja komisjonile. Samuti tuleks avalikustada ajakohastatud ja täpne teave riiklike akrediteerimisasutuste osutatavate akrediteerimisteenuste kättesaadavuse kohta. Eelkõige tuleks tagada vastavushindamisasutuste juurepääs kõnealusele teabele.

Muudatusettepanek    67

Ettepanek võtta vastu määrus

Põhjendus 61

Komisjoni ettepanek

Muudatusettepanek

(61)  Et suurendada teadlikkust ja hõlbustada tulevaste Euroopa küberturvalisuse kavade aktsepteerimist, võib Euroopa Komisjon välja anda üldiseid või sektoripõhiseid küberturvalisuse suuniseid, näiteks küberturvalisuse heade tavade või vastutustundliku küberruumis käitumise kohta, tuues välja sertifitseeritud IKT toodete ja teenuste kasutamise positiivse mõju.

(61)  Et suurendada teadlikkust ja hõlbustada tulevaste Euroopa küberturvalisuse kavade aktsepteerimist, võib Euroopa Komisjon välja anda üldiseid või sektoripõhiseid küberturvalisuse suuniseid, näiteks küberturvalisuse heade tavade või vastutustundliku küberruumis käitumise kohta, tuues välja sertifitseeritud IKT toodete, protsesside ja teenuste kasutamise positiivse mõju.

Muudatusettepanek    68

Ettepanek võtta vastu määrus

Põhjendus 63

Komisjoni ettepanek

Muudatusettepanek

(63)  Et vastavushindamisasutuste akrediteerimise kriteeriume veelgi täpsustada, peaks komisjonil olema õigus võtta kooskõlas Euroopa Liidu toimimise lepingu artikliga 290 vastu delegeeritud õigusakte. Komisjon peaks oma ettevalmistustöö jooksul pidama asjakohaseid konsultatsioone, sh ekspertide tasandil. Need konsultatsioonid tuleb läbi viia kooskõlas 13. aprilli 2016. aasta institutsioonidevahelise parema õigusloome kokkuleppes sätestatud põhimõtetega. Eelkõige selleks, et tagada võrdne osalemine delegeeritud õigusaktide ettevalmistamises, peaksid Euroopa Parlament ja nõukogu saama kõik dokumendid liikmesriikide ekspertidega samal ajal ning nende ekspertidel peaks olema pidev juurdepääs komisjoni eksperdirühmade koosolekutele, millel arutatakse delegeeritud õigusaktide ettevalmistamist.

(63)  Et vastavushindamisasutuste akrediteerimise kriteeriume veelgi täpsustada, peaks komisjonil olema õigus võtta kooskõlas Euroopa Liidu toimimise lepingu artikliga 290 vastu delegeeritud õigusakte. Komisjon peaks oma ettevalmistustöö jooksul pidama asjakohaseid konsultatsioone, sh ekspertide tasandil ja vajaduse korral asjaomaste sidusrühmadega. Need konsultatsioonid tuleb läbi viia kooskõlas 13. aprilli 2016. aasta institutsioonidevahelises parema õigusloome kokkuleppes sätestatud põhimõtetega. Eelkõige selleks, et tagada võrdne osalemine delegeeritud õigusaktide ettevalmistamises, peaksid Euroopa Parlament ja nõukogu saama kõik dokumendid liikmesriikide ekspertidega samal ajal ning nende ekspertidel peaks olema pidev juurdepääs komisjoni eksperdirühmade koosolekutele, millel arutatakse delegeeritud õigusaktide ettevalmistamist.

Muudatusettepanek    69

Ettepanek võtta vastu määrus

Põhjendus 65

Komisjoni ettepanek

Muudatusettepanek

(65)  Kontrollimenetlust tuleks kasutada selliste rakendusaktide vastuvõtmiseks, milles käsitletakse IKT toodete ja teenuste suhtes kohaldatavaid Euroopa küberturvalisuse sertifitseerimise kavasid; ameti korraldatavate uurimiste üksikasju ning asjaolusid, vorminguid ja korda, mille kohaselt riiklikud sertifitseerimise järelevalveasutused teavitavad komisjoni akrediteeritud vastavushindamisasutustest.

(65)  Lisaks võib vastu võtta delegeeritud õigusakte, milles käsitletakse IKT toodete, protsesside ja teenuste suhtes kohaldatavaid Euroopa küberturvalisuse sertifitseerimise kavasid; ameti korraldatavate uurimiste üksikasju ning asjaolusid, vorminguid ja korda, mille kohaselt riiklikud sertifitseerimise järelevalveasutused teavitavad komisjoni akrediteeritud vastavushindamisasutustest.

Muudatusettepanek    70

Ettepanek võtta vastu määrus

Põhjendus 66

Komisjoni ettepanek

Muudatusettepanek

(66)  Ameti tööd tuleks hinna sõltumatult. Hindamisel tuleks pidada silmas ameti eesmärkide saavutamist, selle töövõtteid ning ülesannete asjakohasust. Selle hindamise käigus tuleks vaadelda ka Euroopa küberturvalisuse sertifitseerimise raamistiku mõju, tulemuslikkust ja tõhusust.

(66)  Ameti tööd tuleks hinnata pidevalt ja sõltumatult. Hindamisel tuleks pidada silmas ameti eesmärkide saavutamist, selle töövõtteid ning ülesannete asjakohasust, eelkõige selle koordineerivat rolli liikmesriikide ja nende riiklike ametiasutuste suhtes. Läbivaatamise korral peaks komisjon hindama võimalust, et amet tegutseks liikmesriikide ning liidu institutsioonide ja organite ühtse kontaktpunktina.

Muudatusettepanek    71

Ettepanek võtta vastu määrus

Põhjendus 66 a (uus)

Komisjoni ettepanek

Muudatusettepanek

 

(66 a)  Selle hindamise käigus tuleks vaadelda ka Euroopa küberturvalisuse sertifitseerimise raamistiku mõju, tulemuslikkust ja tõhusust. Läbivaatamise korral võiks komisjon hinnata ameti rolli seoses liidu turule sisenevate kolmandatest riikidest pärit toodete ja teenuste hindamisega ja nende ettevõtete võimaliku musta nimekirja lisamisega, kes ei täida liidu eeskirju.

Muudatusettepanek    72

Ettepanek võtta vastu määrus

Põhjendus 66 b (uus)

Komisjoni ettepanek

Muudatusettepanek

 

(66 b)  Selle hindamise käigus tuleks analüüsida liidus müüdavate toodete ja teenuste küberturvalisuse taset. Läbivaatamise korral peaks komisjon hindama, kas lisada küberturvalisuse olulised nõuded siseturule juurdepääsu tingimuste hulka.

Muudatusettepanek    73

Ettepanek võtta vastu määrus

Artikkel 1 – lõik 1 – punkt a

Komisjoni ettepanek

Muudatusettepanek

(a)  sätestatakse ENISA ehk nn ELi küberturvalisuse ameti (edaspidi „amet“) eesmärgid, ülesanded ja organisatsioonilised aspektid ning

(a)  sätestatakse Euroopa Liidu Võrgu- ja Infoturbeameti (edaspidi „amet“) eesmärgid, ülesanded ja organisatsioonilised aspektid ning

Muudatusettepanek    74

Ettepanek võtta vastu määrus

Artikkel 1 – lõik 1 – punkt b

Komisjoni ettepanek

Muudatusettepanek

(b)  sätestatakse Euroopa küberturvalisuse sertifitseerimise kavade kehtestamise raamistik, et kindlustada liidus IKT toodete ja teenuste küberturvalisuse piisav tase. Sellise raamistiku kohaldamine ei piira konkreetseid sätteid, mis puudutavad muudes liidu õigusaktides kirjeldatud vabatahtlikku või kohustuslikku sertifitseerimist.

(b)  sätestatakse Euroopa küberturvalisuse sertifitseerimise kavade kehtestamise raamistik, mille eesmärk on vältida sertifitseerimiskavade killustatust liidus ning kindlustada liidus IKT toodete, protsesside ja teenuste küberturvalisuse piisav tase ning mille kohaldamine ei piira konkreetseid sätteid, mis puudutavad käesolevas määruses või muudes liidu õigusaktides ette nähtud vabatahtlikku ja asjakohasel juhul kohustuslikku sertifitseerimist.

Muudatusettepanek    75

Ettepanek võtta vastu määrus

Artikkel 1 – lõik 1 a (uus)

Komisjoni ettepanek

Muudatusettepanek

 

Amet täidab oma ülesandeid ilma, et see piiraks liikmesriikide pädevusi seoses küberturvalisusega ning eelkõige liikmesriikide pädevusi avaliku julgeoleku, riigikaitse, riigi julgeoleku ja kriminaalõiguse valdkonnas.

Muudatusettepanek    76

Ettepanek võtta vastu määrus

Artikkel 2 – lõik 1 – punkt 1

Komisjoni ettepanek

Muudatusettepanek

(1)  „küberturvalisus“ – hõlmab kõiki tegevusi, mis on vajalikud, et kaitsta võrgu- ja infosüsteeme, nende kasutajaid ja mõjutatud isikuid küberohtude eest;

(1)  „küberturvalisus“ – kõik tegevused, mis on vajalikud, et kaitsta võrgu- ja infosüsteeme, nende kasutajaid ja mõjutatud isikuid küberohtude eest;

Muudatusettepanek    77

Ettepanek võtta vastu määrus

Artikkel 2 – lõik 1 – punkt 2

Komisjoni ettepanek

Muudatusettepanek

(2)  „võrgu- ja infosüsteem“ – direktiivi (EL) 2016/1148 artikli 4 punktis 1 määratletud süsteem;

(2)  „võrgu- ja infosüsteem“ – direktiivi (EL) 2016/1148 artikli 4 punktis 1 määratletud võrgu- ja infosüsteem;

Muudatusettepanek    78

Ettepanek võtta vastu määrus

Artikkel 2 – lõik 1 – punkt 3

Komisjoni ettepanek

Muudatusettepanek

(3)  „riiklik võrgu- ja infosüsteemide turvalisuse strateegia“ – direktiivi (EL) 2016/1148 artikli 4 punktis 3 määratletud raamistik;

(3)  „riiklik võrgu- ja infosüsteemide turvalisuse strateegia“ – direktiivi (EL) 2016/1148 artikli 4 punktis 3 määratletud riiklik võrgu- ja infosüsteemide turvalisuse strateegia;

Muudatusettepanek    79

Ettepanek võtta vastu määrus

Artikkel 2 – lõik 1 – punkt 4

Komisjoni ettepanek

Muudatusettepanek

(4)  „oluliste teenuste operaator“ – direktiivi (EL) 2016/1148 artikli 4 punktis 4 määratletud avaliku või erasektori üksus;

(4)  „oluliste teenuste operaator“ – direktiivi (EL) 2016/1148 artikli 4 punktis 4 määratletud oluliste teenuste operaator;

Muudatusettepanek    80

Ettepanek võtta vastu määrus

Artikkel 2 – lõik 1 – punkt 5

Komisjoni ettepanek

Muudatusettepanek

(5)  „digitaalse teenuse osutaja“ – direktiivi (EL) 2016/1148 artikli 4 punktis 6 määratletud juriidiline isik, kes pakub digitaalset teenust;

(5)  „digitaalse teenuse osutaja“ – direktiivi (EL) 2016/1148 artikli 4 punktis 6 määratletud digitaalse teenuse osutaja;

Muudatusettepanek    81

Ettepanek võtta vastu määrus

Artikkel 2 – lõik 1 – punkt 6

Komisjoni ettepanek

Muudatusettepanek

(6)  „intsident“ – direktiivi (EL) 2016/1148 artikli 4 punktis 7 määratletud sündmus;

(6)  „intsident“ – direktiivi (EL) 2016/1148 artikli 4 punktis 7 määratletud intsident;

Muudatusettepanek    82

Ettepanek võtta vastu määrus

Artikkel 2 – lõik 1 – punkt 7

Komisjoni ettepanek

Muudatusettepanek

(7)  „intsidendi käsitlemine“ – direktiivi (EL) 2016/1148 artikli 4 punktis 8 määratletud protseduur;

(7)  „intsidendi käsitlemine“ – direktiivi (EL) 2016/1148 artikli 4 punktis 8 määratletud intsidendi käsitlemine;

Muudatusettepanek    83

Ettepanek võtta vastu määrus

Artikkel 2 – lõik 1 – punkt 8

Komisjoni ettepanek

Muudatusettepanek

(8)  „küberoht“ – mistahes võimalik asjaolu või sündmus, mis võib kahjustada võrgu- ja infosüsteeme, nende kasutajaid ja mõjutatud isikuid.

(8)  „küberoht“ – mistahes võimalik asjaolu, sündmus või tahtlik tegevus, sh automaatne käsk, mis võib kahjustada või häirida võrgu- ja infosüsteeme, nende kasutajaid ja mõjutatud isikuid või neile muul viisil kahjulikku mõju avaldada;

Muudatusettepanek    84

Ettepanek võtta vastu määrus

Artikkel 2 – lõik 1 – punkt 8 a (uus)

Komisjoni ettepanek

Muudatusettepanek

 

(8 a)  „küberhügieen“ – lihtsad rutiinsed meetmed, mis minimeerivad kasutajate ja ettevõtjate riske küberohtudega kokkupuutumiseks, kui nad neid veebis korrapäraselt rakendavad ja ellu viivad;

Muudatusettepanek    85

Ettepanek võtta vastu määrus

Artikkel 2 – lõik 1 – punkt 9

Komisjoni ettepanek

Muudatusettepanek

(9)  „Euroopa küberturvalisuse sertifitseerimise kava“ – ELi tasandil määratletud normide, tehniliste nõuete, standardite ja menetluste põhjalik kogum, mida kasutatakse selle konkreetse kava kohaldamisalasse kuuluvate info- ja kommunikatsioonitehnoloogia (IKT) toodete ja teenuste sertifitseerimiseks;

(9)  „Euroopa küberturvalisuse sertifitseerimise kava“ – ELi tasandil ning vastavalt rahvusvahelistele ja Euroopa standarditele ja IKT tehnilistele kirjeldustele, mille amet on kindlaks määranud, määratletud normide, tehniliste nõuete, standardite ja menetluste põhjalik kogum, mida kasutatakse selle konkreetse kava kohaldamisalasse kuuluvate info- ja kommunikatsioonitehnoloogia (IKT) toodete, protsesside ja teenuste sertifitseerimiseks;

Muudatusettepanek    86

Ettepanek võtta vastu määrus

Artikkel 2 – lõik 1 – punkt 10

Komisjoni ettepanek

Muudatusettepanek

(10)  „Euroopa küberturvalisuse sertifikaat“ – dokument, mille annab välja vastavushindamisasutus ja mis tõendab, et asjaomane IKT toode või teenus vastab Euroopa küberturvalisuse sertifitseerimise kavas sätestatud konkreetsetele nõuetele;

(10)  „Euroopa küberturvalisuse sertifikaat“ – dokument, mille annab välja vastavushindamisasutus ja mis tõendab, et asjaomane IKT toode, teenus või protsess vastab Euroopa küberturvalisuse sertifitseerimise kavas sätestatud konkreetsetele nõuetele;

Muudatusettepanek    87

Ettepanek võtta vastu määrus

Artikkel 2 – lõik 1 – punkt 11 a (uus)

Komisjoni ettepanek

Muudatusettepanek

 

(11 a)  „IKT protsess“ – tegevused, mille käigus IKT toodet või teenust kavandatakse, töötatakse välja, hallatakse ja tarnitakse;

Muudatusettepanek    88

Ettepanek võtta vastu määrus

Artikkel 2 – lõik 1 – punkt 11 b (uus)

Komisjoni ettepanek

Muudatusettepanek

 

(11 b)  „tarbeelektroonikaseade“ – seadmed, mis koosnevad riist- ja tarkvarast, mis töötlevad isikuandmeid või on koduautomaatika ja kodujuhtimisseadmete, kontoriseadmete, marsruutimisseadmete ja võrku ühendatavate seadmete (nt nutiteler, mänguasjad ja mängukonsoolid, virtuaalsed või personaalsed assistendid, võrku ühendatavad voogedastusseadmed, kantavad seadmed, häälkäsklus- ja virtuaalreaalsussüsteemid) käitamiseks internetiga ühendatavad;

Muudatusettepanek    89

Ettepanek võtta vastu määrus

Artikkel 2 – lõik 1 – punkt 16

Komisjoni ettepanek

Muudatusettepanek

(16)  „standard“ – määruse (EL) nr 1025/2012 artikli 2 punktis 1 määratletud standard.

(16)  „standard, tehniline kirjeldus ja IKT tehniline kirjeldus“ – määruse (EL) nr 1025/2012 artikli 2 punktides 1, 4 ja 5 määratletud standard, tehniline kirjeldus ja IKT tehniline kirjeldus;

Muudatusettepanek    90

Ettepanek võtta vastu määrus

Artikkel 2 – lõik 1 – punkt 16 a (uus)

Komisjoni ettepanek

Muudatusettepanek

 

(16 a)  „riiklik sertifitseerimise järelevalveasutus“ – organ, mille iga liikmesriik on määranud vastavalt käesoleva määruse artiklile 50;

Muudatusettepanek    91

Ettepanek võtta vastu määrus

Artikkel 2 – lõik 1 – punkt 16 b (uus)

Komisjoni ettepanek

Muudatusettepanek

 

(16 b)  „enesehindamine“ – tootja deklaratsioon, millega ta kinnitab, et sertifitseerimiskavas sätestatud konkreetsed nõuded seoses toodete, protsesside ja teenustega on täidetud;

Muudatusettepanek    92

Ettepanek võtta vastu määrus

Artikkel 2 – lõik 1 – punkt 16 c (uus)

Komisjoni ettepanek

Muudatusettepanek

 

(16 c)  „vaiketurvalisus“ – olukord, mille puhul esimesele kasutajale tuleks seadistada võimalikult turvaline vaikekonfiguratsioon, kui toodet, tarkvara või protsessi saab seadistada nii, et sellega on tagatud kõrgem turvalisuse tase. Kui juhtumipõhise riski- ja kasutatavusanalüüsi tulemusel jõutakse järeldusele, et selline seadistus ei ole teostatav, tuleks kasutajaid suunata valima kõige turvalisem seadistus;

Muudatusettepanek    93

Ettepanek võtta vastu määrus

Artikkel 2 – lõik 1 – punkt 16 d (uus)

Komisjoni ettepanek

Muudatusettepanek

 

(16 d)  „oluliste teenuste operaatorid“ – direktiivi (EL) 2016/1148 artikli 4 punktis 4 määratletud oluliste teenuste operaatorid.

Muudatusettepanek    94

Ettepanek võtta vastu määrus

Artikkel 3 – lõige 1

Komisjoni ettepanek

Muudatusettepanek

1.  Amet hakkab tegelema ülesannetega, mis talle käesoleva määrusega pannakse, et panustada kõrgetasemelisse küberturvalisusse liidus.

1.  Amet hakkab tegelema ülesannetega, mis talle käesoleva määrusega pannakse, ja ametit tugevdatakse, et panustada küberturvalisuse ühtlaselt kõrge taseme saavutamisse küberrünnete ärahoidmiseks liidus, vähendada siseturu killustatust ja parandada selle toimimist ning tagada järjepidevus, võttes arvesse liikmesriikide koostöö tulemusi võrgu- ja infoturbe direktiivi raames.

Muudatusettepanek    95

Ettepanek võtta vastu määrus

Artikkel 4 – lõige 1

Komisjoni ettepanek

Muudatusettepanek

1.  Ametist saab küberturvalisuse alaste teadmiste keskus tänu oma sõltumatusele, antava nõu ja abi ning levitatava teabe teaduslikule ja tehnilisele kvaliteedile, töökorra ja töömeetodite läbipaistvusele ning oma ülesannete hoolikale täitmisele.

1.  Ametist saab küberturvalisuse alaste teoreetiliste ja praktiliste teadmiste keskus tänu oma sõltumatusele, antava nõu ja abi ning levitatava teabe teaduslikule ja tehnilisele kvaliteedile, töökorra ja töömeetodite läbipaistvusele ning oma ülesannete hoolikale täitmisele.

Muudatusettepanek    96

Ettepanek võtta vastu määrus

Artikkel 4 – lõige 2

Komisjoni ettepanek

Muudatusettepanek

2.  Amet aitab liidu institutsioonidel, ametitel ja asutustel ning liikmesriikidel töötada välja küberturvalisuse valdkonna põhimõtted ja neid rakendada.

2.  Amet aitab liidu institutsioonidel, ametitel ja asutustel ning liikmesriikidel töötada välja küberturvalisuse valdkonna põhimõtted ja neid rakendada ning suurendada kodanike ja ettevõtjate teadlikkust.

Muudatusettepanek    97

Ettepanek võtta vastu määrus

Artikkel 4 – lõige 3

Komisjoni ettepanek

Muudatusettepanek

3.  Amet toetab suutlikkuse ja valmisoleku arendamist kogu liidus sellega, et aitab liidul, liikmesriikidel ning avaliku ja erasektori sidusrühmadel suurendada võrgu- ja infosüsteemide kaitset, arendada küberturvalisuse valdkonna oskusi ja pädevusi ning saavutada kübervastupidavusvõime.

3.  Amet toetab suutlikkuse ja valmisoleku arendamist liidu institutsioonides, ametites ja asutustes sellega, et aitab liidul, liikmesriikidel ning avaliku ja erasektori sidusrühmadel suurendada võrgu- ja infosüsteemide kaitset, arendada ja parandada kübervastupidavusvõimet ja reageerimissuutlikkust, suurendada teadlikkust ning arendada küberturvalisuse valdkonna oskusi ja pädevusi ning saavutada kübervastupidavusvõime.

Muudatusettepanek    98

Ettepanek võtta vastu määrus

Artikkel 4 – lõige 4

Komisjoni ettepanek

Muudatusettepanek

4.  Amet edendab liidu tasandil küberturvalisusega seotud küsimuste alast koostööd ja koordineerimist liikmesriikide, liidu institutsioonide, ametite ja asutuste ning asjaomaste sidusrühmade seas, kaasa arvatud erasektoris.

4.  Amet edendab liidu tasandil küberturvalisusega seotud küsimuste alast koostööd, koordineerimist ja teabe jagamist liikmesriikide, liidu institutsioonide, ametite ja asutuste ning asjaomaste sidusrühmade seas.

Muudatusettepanek    99

Ettepanek võtta vastu määrus

Artikkel 4 – lõige 5

Komisjoni ettepanek

Muudatusettepanek

5.  Amet suurendab liidu tasandil küberturvalisuse alast suutlikkust, et täiendada liikmesriikide tegevust küberohtude ennetamisel ja neile reageerimisel, seda eeskätt piiriüleste intsidentide puhul.

5.  Amet aitab suurendada liidu tasandil küberturvalisuse alast suutlikkust, et täiendada liikmesriikide tegevust küberohtude ennetamisel ja neile reageerimisel, seda eeskätt piiriüleste intsidentide puhul, ning et täita oma ülesannet aidata liidu institutsioonidel töötada välja küberturvalisusega seotud poliitikameetmeid.

Muudatusettepanek    100

Ettepanek võtta vastu määrus

Artikkel 4 – lõige 6

Komisjoni ettepanek

Muudatusettepanek

6.  Amet propageerib sertifitseerimist muu hulgas sellega, et aitab kaasa küberturvalisuse sertifitseerimise raamistiku loomisele ja haldamisele liidu tasandil vastavalt käesoleva määruse III jaotisele, et suurendada IKT toodete ja teenuste küberturvalisuse alase usaldusväärsuse läbipaistvust ning tugevdada seeläbi usaldust digitaalse siseturu vastu.

6.  Amet propageerib sertifitseerimist eesmärgiga vältida siseturu killustatust ja parandada selle toimimist muu hulgas sellega, et aitab kaasa küberturvalisuse sertifitseerimise raamistiku loomisele ja haldamisele liidu tasandil vastavalt käesoleva määruse III jaotisele, et suurendada IKT toodete, teenuste ja protsesside küberturvalisuse alase usaldusväärsuse läbipaistvust ning tugevdada seeläbi usaldust digitaalse siseturu vastu ja et suurendada olemasolevate riiklike ja rahvusvaheliste sertifitseerimiskavade omavahelist kooskõla.

Muudatusettepanek    101

Ettepanek võtta vastu määrus

Artikkel 4 – lõige 7

Komisjoni ettepanek

Muudatusettepanek

7.  Amet edendab kodanike ja ettevõtjate heal tasemel teadlikkust küberturvalisusega seotud küsimustest.

7.  Amet edendab ja toetab projekte, mis soodustavad kodanike ja ettevõtjate heal tasemel teadlikkust, küberhügieeni ja küberkirjaoskust küberturvalisusega seotud küsimuste valdkonnas.

Muudatusettepanek    102

Ettepanek võtta vastu määrus

Artikkel 5 – lõige 1

Komisjoni ettepanek

Muudatusettepanek

1.  Abistab ja annab nõu, eeskätt jagab oma sõltumatut arvamust ja teeb ettevalmistusi liidu põhimõtete ja õiguse arendamise ja läbivaatamise jaoks küberturvalisuse valdkonnas, aga ka valdkonnaspetsiifiliste poliitiliste ja õiguslike algatuste jaoks, kui need puudutavad küberturvalisusega seotud küsimusi.

1.  Abistab ja annab nõu, eeskätt jagab oma sõltumatut arvamust ning esitab küberruumis toimuva asjaomase tegevuse analüüsi ja teeb ettevalmistusi liidu põhimõtete ja õiguse arendamise ja läbivaatamise jaoks küberturvalisuse valdkonnas, aga ka valdkonnaspetsiifiliste poliitiliste ja õiguslike algatuste jaoks, kui need puudutavad küberturvalisusega seotud küsimusi.

Muudatusettepanek    103

Ettepanek võtta vastu määrus

Artikkel 5 – lõige 2

Komisjoni ettepanek

Muudatusettepanek

2.  Aitab liikmesriikidel järjekindlalt rakendada küberturvalisusega seotud liidu põhimõtteid ja õigusakte eeskätt seoses direktiiviga (EL) 2016/1148, kasutades selleks muu hulgas arvamusi, juhiseid, nõuandeid ja parimaid tavasid sellistes küsimustes nagu riskihaldus, intsidentidest teatamine ja teabe jagamine ning aidates kaasa selle valdkonna parimate tavade jagamisele pädevate asutuste vahel.

2.  Aitab liikmesriikidel järjekindlalt rakendada küberturvalisusega seotud liidu põhimõtteid ja õigusakte eeskätt seoses direktiiviga (EL) 2016/1148, direktiiviga ... (millega kehtestatakse Euroopa elektroonilise side seadustik), määrusega (EL) 2016/679 ja direktiiviga 2002/58/EÜ, kasutades selleks muu hulgas arvamusi, juhiseid, nõuandeid ja parimaid tavasid sellistes küsimustes nagu turvaline tarkvara ja süsteemide arendamine, riskihaldus, intsidentidest teatamine ja teabe jagamine, tehnilised ja korralduslikud meetmed, eelkõige nõrkustest teatamise koordineeritud programmide loomine, ning aidates kaasa selle valdkonna parimate tavade jagamisele pädevate asutuste vahel.

Muudatusettepanek    104

Ettepanek võtta vastu määrus

Artikkel 5 – lõige 2 a (uus)

Komisjoni ettepanek

Muudatusettepanek

 

2 a.  Töötab välja ja edendab poliitikameetmeid, mis toetaksid avatud interneti avaliku tuuma üldist kättesaadavust või terviklikkust, pakuvad interneti kui terviku põhifunktsionaalsust ja toetavad selle tavapärast toimimist, muu hulgas põhiliste protokollide (eelkõige domeeninimede süsteem, BGP ja IPv6) turvalisust ja stabiilsust, domeeninimede süsteemi (sealhulgas kõigi tippdomeenide) toimimist ning juurserverite toimimist.

Muudatusettepanek    105

Ettepanek võtta vastu määrus

Artikkel 5 – lõige 4 – punkt 2

Komisjoni ettepanek

Muudatusettepanek

(2)  elektroonilise side suurema turvalisuse edendamist, muu hulgas oskusteabe ja nõu pakkumisega ning pädevate asutuste vaheliste parimate tavade jagamise soodustamisega.

(2)  elektroonilise side, andmete säilitamise ja andmetöötluse suurema turvalisuse edendamist, muu hulgas oskusteabe ja nõu pakkumisega ning pädevate asutuste vaheliste parimate tavade jagamise soodustamisega.

Muudatusettepanek    106

Ettepanek võtta vastu määrus

Artikkel 5 – lõige 5 a (uus)

Komisjoni ettepanek

Muudatusettepanek

 

5 a.  Aitab liikmesriikidel järjekindlalt rakendada andmekaitsega seotud liidu põhimõtteid ja õigusakte, eeskätt määrust (EL) 2016/679, ning aitab Euroopa Andmekaitsenõukogul töötada välja suunised, mis on seotud määruse (EL) 2016/679 rakendamisega küberturvalisuse eesmärgil. Euroopa Andmekaitsenõukogu konsulteerib ametiga iga kord, kui ta avaldab arvamuse või otsuse, milles käsitletakse isikuandmete kaitse üldmääruse rakendamist ja küberturvalisust, muu hulgas eraelu puutumatuse mõjuhinnangute, andmetega seotud rikkumisest teatamise, töötlemise turvalisuse, turvanõuete ja lõimprivaatsusega seotud küsimuste puhul.

Muudatusettepanek    107

Ettepanek võtta vastu määrus

Artikkel 6 – lõige 1 – punkt a a (uus)

Komisjoni ettepanek

Muudatusettepanek

 

(a a)  liikmesriike ja liidu institutsioone nõrkustest teatamise koordineeritud poliitika ja nõrkustest teatamise riiklike läbivaatamisprotsesside loomisel ja rakendamisel, kusjuures nende tavad ja otsused peaksid olema läbipaistvad ning nende suhtes tuleks kohaldada sõltumatut järelevalvet.

Muudatusettepanek    108

Ettepanek võtta vastu määrus

Artikkel 6 – lõige 1 – punkt a b (uus)

Komisjoni ettepanek

Muudatusettepanek

 

(a b)  Amet aitab kaasa pikaajalise Euroopa IT-turvalisuse projekti väljatöötamisele ja käivitamisele, et veelgi edendada küberturvalisuse alaseid teadusuuringuid liidus ja liikmesriikides koostöös Euroopa Teadusnõukogu (ERC) ja Euroopa Innovatsiooni- ja Tehnoloogiainstituudiga (EIT) ning liidu teadusprogrammide valdkonnas;

Muudatusettepanek    109

Ettepanek võtta vastu määrus

Artikkel 6 – lõige 1 – punkt g

Komisjoni ettepanek

Muudatusettepanek

(g)  liikmesriike, korraldades igal aastal liidu tasandil artikli 7 lõikes 6 osutatud ulatuslikud küberturvalisuse õppused ja andes õppuste hindamise ja õppuste käigus omandatud kogemuste põhjal poliitilisi soovitusi;

(g)  liikmesriike, korraldades korrapäraselt ja vähemalt igal aastal liidu tasandil artikli 7 lõikes 6 osutatud ulatuslikud küberturvalisuse õppused ja andes õppuste hindamise ja õppuste käigus omandatud kogemuste põhjal poliitilisi soovitusi ja vahetades parimaid tavasid;

Muudatusettepanek    110

Ettepanek võtta vastu määrus

Artikkel 6 – lõige 2

Komisjoni ettepanek

Muudatusettepanek

2.  Amet soodustab valdkondlike teabe jagamise ja analüüsimise keskuste (ISACide) loomist ja toetab neid pidevalt eeskätt direktiivi (EL) 2016/1148 II lisas loetletud valdkondades, pakkudes parimaid tavasid ja juhiseid kättesaadavate töövahendite ja menetluste kohta ning selle kohta, kuidas lahendada teabe jagamisega seotud regulatiivsed küsimused.

2.  Amet soodustab valdkondlike teabe jagamise ja analüüsimise keskuste (ISACide) loomist ja toetab neid pidevalt eeskätt direktiivi (EL) 2016/1148 II lisas loetletud valdkondades, pakkudes parimaid tavasid ja juhiseid kättesaadavate töövahendite, menetluste ja küberhügieeni põhimõtete kohta ning selle kohta, kuidas lahendada teabe jagamisega seotud regulatiivsed küsimused.

Muudatusettepanek    111

Ettepanek võtta vastu määrus

Artikkel 7 – lõige 1

Komisjoni ettepanek

Muudatusettepanek

1.  Amet toetab operatiivkoostööd pädevate avalik-õiguslike asutuste seas ja sidusrühmade vahel.

1.  Amet toetab operatiivkoostööd liikmesriikide, liidu institutsioonide, ametite ja asutuste seas ja sidusrühmade vahel eesmärgiga jõuda koostööni, analüüsides ja hinnates olemasolevaid riiklikke kavasid, töötades välja kava ja viies selle ellu ning kasutades asjakohaseid vahendeid, et saavutada liidus ja liikmesriikides küberturvalisuse sertifitseerimise kõrgeim tase.

Muudatusettepanek    112

Ettepanek võtta vastu määrus

Artikkel 7 – lõige 4 – lõik 1 – punkt b

Komisjoni ettepanek

Muudatusettepanek

(b)  pakub liikmesriikidele nende taotlusel tehnilist abi märkimisväärse või olulise mõjuga intsidentide korral;

(b)  pakub liikmesriikidele nende taotlusel teabe jagamise ja eksperditeadmiste vormis tehnilist abi märkimisväärse või olulise mõjuga intsidentide korral;

Muudatusettepanek    113

Ettepanek võtta vastu määrus

Artikkel 7 – lõige 4 – lõik 1 – punkt b a (uus)

Komisjoni ettepanek

Muudatusettepanek

 

(b a)  kui olukord nõuab intsidendi märkimisväärse häiriva mõju tõttu kiiret tegutsemist, võib liikmesriik taotleda olukorra hindamisel ameti ekspertide abi. Taotlus sisaldab olukorra kirjeldust, võimalikke eesmärke ja prognoositud vajadusi;

Muudatusettepanek    114

Ettepanek võtta vastu määrus

Artikkel 7 – lõige 5 – lõik 1

Komisjoni ettepanek

Muudatusettepanek

Kahe või enama asjaomase liikmesriigi taotluse korral ja üksnes selleks, et anda nõu edasiste intsidentide vältimiseks, teeb amet tehnilise järeluurimise või pakub selleks vajalikku toetust pärast seda, kui mõjutatud ettevõtjad on teatanud märkimisväärse või olulise mõjuga intsidendist vastavalt direktiivile (EL) 2016/1148. Amet teeb sellise uurimise ka juhul, kui selline intsident on mõjutanud rohkem kui kaht liikmesriiki ning kui komisjon esitab asjaomaste liikmesriikide nõusolekul põhjendatud taotluse.

Ühe või enama asjaomase liikmesriigi taotluse korral ja üksnes selleks, et anda abi kas nõuannete vormis edasiste intsidentide vältimiseks või käimasolevatele suuremahulistele intsidentidele reageerimisel abistamise vormis, teeb amet tehnilise järeluurimise või pakub selleks vajalikku toetust pärast seda, kui mõjutatud ettevõtjad on teatanud märkimisväärse või olulise mõjuga intsidendist vastavalt direktiivile (EL) 2016/1148. Amet täidab eespool nimetatud ülesandeid, saades mõjutatud liikmesriikidest asjakohast teavet ning kasutades ohuanalüüside tegemiseks oma ressursse ja samuti intsidentidele reageerimise ressursse. Amet teeb sellise uurimise ka juhul, kui selline intsident on mõjutanud rohkem kui üht liikmesriiki ning kui komisjon esitab asjaomaste liikmesriikide nõusolekul põhjendatud taotluse. Seda tehes tagab amet, et ei avalikusta meetmeid, mida liikmesriigid võtavad oma oluliste riiklike funktsioonide kaitsmiseks, eelkõige seoses riikliku julgeolekuga.

Muudatusettepanek    115

Ettepanek võtta vastu määrus

Artikkel 7 – lõige 6

Komisjoni ettepanek

Muudatusettepanek

6.  Amet korraldab iga-aastaseid liidu tasandi küberõppusi ning toetab liikmesriike ja ELi institutsioone, organeid ja asutusi nende taotluse korral õppuste korraldamisel. Iga-aastased liidu tasandi õppused sisaldavad tehnilisi, operatiivseid ja strateegilisi elemente, et aidata ette valmistada liidu tasandi koostööl põhinevat reageerimist ulatuslikele piiriülestele küberturvalisuse intsidentidele. Lisaks annab amet vajaduse korral oma panuse valdkondlike küberõppuste korraldamisse ja aitab neid korraldada koos asjaomaste teabe jagamise ja analüüsimise keskustega ning lubab keskustel osaleda ka liidu tasandi küberturvalisuse õppustel.

6.  Amet korraldab korrapäraseid ja igal juhul vähemalt iga-aastaseid liidu tasandi küberõppusi ning toetab liikmesriike ja ELi institutsioone, organeid ja asutusi nende taotluse korral õppuste korraldamisel. Iga-aastased liidu tasandi õppused sisaldavad tehnilisi, operatiivseid ja strateegilisi elemente, et aidata ette valmistada liidu tasandi koostööl põhinevat reageerimist ulatuslikele piiriülestele küberturvalisuse intsidentidele. Lisaks annab amet vajaduse korral oma panuse valdkondlike küberõppuste korraldamisse ja aitab neid korraldada koos asjaomaste teabe jagamise ja analüüsimise keskustega ning lubab keskustel osaleda ka liidu tasandi küberturvalisuse õppustel.

Muudatusettepanek    116

Ettepanek võtta vastu määrus

Artikkel 7 – lõige 7

Komisjoni ettepanek

Muudatusettepanek

7.  Amet koostab korrapäraselt ELi küberturvalisuse tehnilise olukorra aruandeid intsidentide ja ohtude kohta, võttes aluseks avatud allikatest pärit teabe, omaenda tehtud analüüsid ja aruanded, mida jagavad muu hulgas: liikmesriikide CSIRTid (vabatahtlikkuse alusel) või ELi võrgu- ja infoturbe direktiivi alusel loodud ühtsed kontaktpunktid (vastavalt võrgu- ja infoturbe direktiivi artiklit 14 lõikele 5); Europoli küberkuritegevuse vastase võitluse Euroopa keskus (EC3), CERT-EU.

7.  Amet koostab korrapäraselt ja põhjalikult ELi küberturvalisuse tehnilise olukorra aruandeid intsidentide ja ohtude kohta, võttes aluseks avatud allikatest pärit teabe, omaenda tehtud analüüsid ja aruanded, mida jagavad muu hulgas: liikmesriikide CSIRTid (vabatahtlikkuse alusel) või ELi võrgu- ja infoturbe direktiivi alusel loodud ühtsed kontaktpunktid (vastavalt võrgu- ja infoturbe direktiivi artikli 14 lõikele 5); Europoli küberkuritegevuse vastase võitluse Euroopa keskus (EC3), CERT-EU. Tegevdirektor esitab avalikud järeldused Euroopa Parlamendile, kui see on asjakohane.

Muudatusettepanek    117

Ettepanek võtta vastu määrus

Artikkel 7 – lõige 7 a (uus)

Komisjoni ettepanek

Muudatusettepanek

 

7 a.  Amet annab vajaduse korral ja komisjoni eelneval nõusolekul panuse küberkoostöösse NATO Küberkaitsekoostöö Keskusega ja NATO side- ja teabeakadeemiaga (NCI).

Muudatusettepanek    118

Ettepanek võtta vastu määrus

Artikkel 7 – lõige 8 – punkt a

Komisjoni ettepanek

Muudatusettepanek

(a)  koondab riiklikest allikatest pärit aruandeid, et aidata kaasa ühise olukorrateadlikkuse tekitamisele;

(a)  analüüsib ja koondab riiklikest allikatest pärit aruandeid, et aidata kaasa ühise olukorrateadlikkuse tekitamisele;

Muudatusettepanek    119

Ettepanek võtta vastu määrus

Artikkel 7 – lõige 8 – punkt c

Komisjoni ettepanek

Muudatusettepanek

(c)  toetab intsidendi või kriisi tehnilist lahendamist, hõlbustades muu hulgas tehniliste lahenduste jagamist liikmesriikide vahel;

(c)  toetab intsidendi või kriisi tehnilist lahendamist lähtuvalt oma sõltumatutest eksperditeadmistest ja vahenditest, hõlbustades muu hulgas tehniliste lahenduste vabatahtlikku jagamist liikmesriikide vahel;

Muudatusettepanek    120

Ettepanek võtta vastu määrus

Artikkel 7 – lõige 8 a (uus)

Komisjoni ettepanek

Muudatusettepanek

 

8 a.  Amet korraldab vajaduse korral arvamuste vahetuse ja abistab liikmesriikide ametiasutusi nende reageerimise koordineerimisel kooskõlas subsidiaarsuse ja proportsionaalsuse põhimõtetega.

Muudatusettepanek    121

Ettepanek võtta vastu määrus

Artikkel 7 a (uus)

Komisjoni ettepanek

Muudatusettepanek

 

Artikkel 7 a

 

Ameti tehniline suutlikkus

 

1. Artiklis 7 kirjeldatud eesmärkide saavutamiseks ja kooskõlas ameti tööprogrammiga töötab amet muu hulgas välja järgmise tehnilise suutlikkuse ja järgmised oskused:

 

(a) suutlikkus koguda avatud allikatest teavet küberturvalisuse ohtude kohta ning

 

(b) suutlikkus kasutada tehnilisi seadmeid, vahendeid ja eksperditeadmisi kaugteel.

 

2. Käesoleva artikli lõikes 1 osutatud tehnilise suutlikkuse tagamiseks ja asjakohaste oskuste arendamiseks teeb amet järgmist:

 

(a) tagab, et tema värbamismenetlustes kajastuvad erinevad nõutud tehnilised oskused, ning

 

(b) teeb vastavalt käesoleva määruse artikli 7 lõikele 2 koostööd CERT-EU ja Europoliga.

Muudatusettepanek    122

Ettepanek võtta vastu määrus

Artikkel 8 – lõik 1 – punkt a – sissejuhatav osa

Komisjoni ettepanek

Muudatusettepanek

(a)  toetab ja edendab käesoleva määruse III jaotises kirjeldatud IKT toodete ja teenuste küberturvalisuse sertifitseerimise alaste liidu põhimõtete arendamist ja rakendamist järgmiselt:

(a)  toetab ja edendab käesoleva määruse III jaotises kirjeldatud IKT toodete, teenuste ja protsesside küberturvalisuse sertifitseerimise alaste liidu põhimõtete arendamist ja rakendamist järgmiselt:

Muudatusettepanek    123

Ettepanek võtta vastu määrus

Artikkel 8 – lõik 1 – punkt a – alapunkt -1 (uus)

Komisjoni ettepanek

Muudatusettepanek

 

(-1)  määrab järjepidevalt kindlaks standardid, tehnilised kirjeldused ja IKT tehnilised kirjeldused;

Muudatusettepanek    124

Ettepanek võtta vastu määrus

Artikkel 8 – lõik 1 – punkt a – alapunkt 1

Komisjoni ettepanek

Muudatusettepanek

(1)  koostab IKT toodete ja teenuste Euroopa küberturvalisuse sertifitseerimise ettevalmistavad kavad vastavalt käesoleva määruse artiklile 44;

(1)  koostab koostöös valdkonna sidusrühmade ja standardiorganisatsioonidega ametliku, standarditud ning läbipaistva protsessi käigus IKT toodete, teenuste ja protsesside Euroopa küberturvalisuse sertifitseerimise ettevalmistavad kavad vastavalt käesoleva määruse artiklile 44;

Muudatusettepanek    125

Ettepanek võtta vastu määrus

Artikkel 8 – lõik 1 – punkt a – alapunkt 1 a (uus)

Komisjoni ettepanek

Muudatusettepanek

 

(1 a)  hindab koostöös liikmesriikide sertifitseerimisrühmaga vastavalt käesoleva määruse artiklile 53 Euroopa küberturvalisuse sertifikaatide väljastamise menetlusi, mille on kehtestanud käesoleva määruse artiklis 51 osutatud vastavushindamisasutused, eesmärgiga tagada, et vastavushindamisasutused kohaldaksid sertifikaatide väljastamisel käesolevat määrust ühetaoliselt;

Muudatusettepanek    126

Ettepanek võtta vastu määrus

Artikkel 8 – lõik 1 – punkt a – alapunkt 1 b (uus)

Komisjoni ettepanek

Muudatusettepanek

 

(1 b)  teeb sõltumatuid perioodilisi järelkontrolle sertifitseeritud IKT toodete, protsesside ja teenuste vastavuse kohta Euroopa küberturvalisuse sertifitseerimise kavadele;

Muudatusettepanek    127

Ettepanek võtta vastu määrus

Artikkel 8 – lõik 1 – punkt a – alapunkt 2

Komisjoni ettepanek

Muudatusettepanek

(2)  aitab komisjonil pakkuda sekretariaaditeenuseid Euroopa küberturvalisuse sertifitseerimise rühmale vastavalt käesoleva määruse artiklile 53;

(2)  aitab komisjonil pakkuda sekretariaaditeenuseid liikmesriikide sertifitseerimisrühmale vastavalt käesoleva määruse artiklile 53;

Muudatusettepanek    128

Ettepanek võtta vastu määrus

Artikkel 8 – lõik 1 – punkt a – alapunkt 3

Komisjoni ettepanek

Muudatusettepanek

(3)  koostab ja avaldab juhiseid ja töötab välja häid tavasid IKT toodete ja teenuste küberturvalisuse nõuete kohta, tehes selleks koostööd riikide sertifitseerimisega tegelevate järelevalveasutuste ja tööstusega;

(3)  koostab ja avaldab juhiseid ja töötab välja häid tavasid (sealhulgas küberhügieeni põhimõtete valdkonnas) IKT toodete, protsesside ja teenuste küberturvalisuse nõuete kohta, tehes selleks koostööd riiklike sertifitseerimise järelevalveasutuste ja tööstusega ametliku, standarditud ja läbipaistva protsessi raames;

Muudatusettepanek    129

Ettepanek võtta vastu määrus

Artikkel 8 – lõik 1 – punkt b

Komisjoni ettepanek

Muudatusettepanek

(b)  hõlbustab riskihalduse ning IKT toodete ja teenuste turvalisuse Euroopa ja rahvusvaheliste standardite loomist ja kasutuselevõtmist ning koostab koostöös liikmesriikidega nõuandeid ja juhiseid oluliste teenuste operaatoritele ja digitaalsete teenuste osutajatele esitatavate turvalisusnõuetega seotud tehniliste valdkondade, aga ka juba olemas olevate standardite, kaasa arvatud liikmesriikide riiklike standardite kohta vastavalt direktiivi (EL) 2016/1148 artikli 19 lõikele 2;

(b)  hõlbustab riskihalduse ning IKT toodete, protsesside ja teenuste turvalisuse Euroopa ja rahvusvaheliste standardite loomist ja kasutuselevõtmist ning koostab koostöös liikmesriikide ja tööstusega nõuandeid ja juhiseid oluliste teenuste operaatoritele ja digitaalsete teenuste osutajatele esitatavate turvalisusnõuetega seotud tehniliste valdkondade, aga ka juba olemas olevate standardite, kaasa arvatud liikmesriikide riiklike standardite kohta vastavalt direktiivi (EL) 2016/1148 artikli 19 lõikele 2, ning jagab seda teavet liikmesriikidega;

Muudatusettepanek    130

Ettepanek võtta vastu määrus

Artikkel 9 – lõik 1 – punkt c

Komisjoni ettepanek

Muudatusettepanek

(c)  jagab koostöös liikmesriikide ametiasutuste ekspertidega nõu, juhiseid ja parimaid tavasid võrgu- ja infosüsteemide turvalisuse kohta, eeskätt selles osas, mis puudutab internetitaristu ja nende taristute turvalisust, mis toetavad direktiivi (EL) 2016/1148 II lisas loetletud sektoreid;

(c)  jagab koostöös liikmesriikide ametiasutuste ekspertide ja asjaomaste sidusrühmadega nõu, juhiseid ja parimaid tavasid võrgu- ja infosüsteemide turvalisuse kohta, eeskätt selles osas, mis puudutab internetitaristu ja nende taristute turvalisust, mis toetavad direktiivi (EL) 2016/1148 II lisas loetletud sektoreid;

Muudatusettepanek    131

Ettepanek võtta vastu määrus

Artikkel 9 – lõik 1 – punkt e

Komisjoni ettepanek

Muudatusettepanek

(e)  suurendab üldsuse teadlikkust küberturvalisuse riskidest ja jagab kodanikele ja organisatsioonidele mõeldud juhiseid individuaalsete kasutajate heade tavade kohta;

(e)  suurendab pidevalt üldsuse teadlikkust küberturvalisuse riskidest, pakub koolitusi ning jagab kodanikele ja organisatsioonidele mõeldud juhiseid individuaalsete kasutajate heade tavade kohta ning edendab ennetavate tugevate IT turbemeetmete kasutuselevõttu ja usaldusväärset andmekaitset ja eraelu puutumatust;

Muudatusettepanek    132

Ettepanek võtta vastu määrus

Artikkel 9 – lõik 1 – punkt g

Komisjoni ettepanek

Muudatusettepanek

(g)  korraldab koostöös liikmesriikide ja liidu institutsioonide, organite ja asutustega korrapäraselt teavituskampaaniaid, et suurendada küberturvalisust ja selle nähtavust liidus.

(g)  korraldab koostöös liikmesriikide ja liidu institutsioonide, organite ja asutustega korrapäraselt teavituskampaaniaid, et soodustada laiaulatuslikku avalikku arutelu;

Muudatusettepanek    133

Ettepanek võtta vastu määrus

Artikkel 9 – lõik 1 – punkt g a (uus)

Komisjoni ettepanek

Muudatusettepanek

 

(g a)  toetab liikmesriikidevahelist tihedamat koordineerimist ja parimate tavade vahetamist küberturvalisuse alase hariduse ja kirjaoskuse, küberhügieeni ja teadlikkuse suurendamise valdkonnas.

Muudatusettepanek    134

Ettepanek võtta vastu määrus

Artikkel 10 – lõik 1 – punkt a

Komisjoni ettepanek

Muudatusettepanek

(a)  annab liidule ja liikmesriikidele nõu küberturvalisuse valdkonnas vajalike teadusuuringute ja prioriteetide kohta, et võimaldada tulemuslikku reageerimist praegustele ja tulevastele riskidele ja ohtudele, sealhulgas seoses uue ja kujunemisjärgus info- ja kommunikatsioonitehnoloogiaga, ning riskiennetustehnoloogia tõhusat kasutamist;

(a)  tagab eelneva konsulteerimise asjaomaste kasutajarühmadega ning annab liidule ja liikmesriikidele nõu küberturvalisuse, andmekaitse ja eraelu puutumatuse valdkondades vajalike teadusuuringute ja prioriteetide kohta, et võimaldada tulemuslikku reageerimist praegustele ja tulevastele riskidele ja ohtudele, sealhulgas seoses uue ja kujunemisjärgus info- ja kommunikatsioonitehnoloogiaga, ning riskiennetustehnoloogia tõhusat kasutamist;

Muudatusettepanek    135

Ettepanek võtta vastu määrus

Artikkel 10 – lõik 1 – punkt b a (uus)

Komisjoni ettepanek

Muudatusettepanek

 

(b a)  tellib oma teadustegevust huvivaldkondades, mis ei ole olemasolevate liidu teadusprogrammidega veel hõlmatud, kui on olemas selgelt määratletud Euroopa lisaväärtus.

Muudatusettepanek    136

Ettepanek võtta vastu määrus

Artikkel 11 – lõik 1 – punkt c a (uus)

Komisjoni ettepanek

Muudatusettepanek

 

(c a)  nõustab ja toetab komisjoni koostöös artikli 53 alusel loodud liikmesriikide sertifitseerimisrühmaga küsimustes, mis puudutavad kolmandate riikidega sõlmitud küberturvalisuse sertifikaatide vastastikuse tunnustamise lepinguid.

Muudatusettepanek    137

Ettepanek võtta vastu määrus

Artikkel 12 – lõik 1 – punkt d

Komisjoni ettepanek

Muudatusettepanek

(d)  alaline sidusrühm, kes täidab artiklis 20 sätestatud ülesandeid.

(d)  ENISA nõuanderühm, kes täidab artiklis 20 sätestatud ülesandeid.

Muudatusettepanek    138

Ettepanek võtta vastu määrus

Artikkel 14 – lõige 1 – punkt e

Komisjoni ettepanek

Muudatusettepanek

(e)  annab hinnangu konsolideeritud aastaaruandele ameti tegevuse kohta ja võtab aruande vastu ning saadab nii aruande kui ka hinnangu hiljemalt järgmise aasta 1. juuliks Euroopa Parlamendile, nõukogule, komisjonile ja kontrollikojale. Aastaaruanne hõlmab raamatupidamisaruannet ning selles kirjeldatakse, kuidas amet täitis oma tulemuslikkuse näitajaid. Aastaaruanne avalikustatakse;

(e)  annab hinnangu konsolideeritud aastaaruandele ameti tegevuse kohta ja võtab aruande vastu ning saadab nii aruande kui ka hinnangu hiljemalt järgmise aasta 1. juuliks Euroopa Parlamendile, nõukogule, komisjonile ja kontrollikojale. Aastaaruanne hõlmab raamatupidamisaruannet, selles kirjeldatakse kulude tasuvust ja hinnatakse, kui tõhus amet on olnud ning mil määral täitis amet oma tulemuslikkuse näitajaid. Aastaaruanne avalikustatakse;

Muudatusettepanek    139

Ettepanek võtta vastu määrus

Artikkel 14 – lõige 1 – punkt m

Komisjoni ettepanek

Muudatusettepanek

(m)  nimetab kooskõlas käesoleva määruse artikliga 33 ametisse tegevdirektori ning vajaduse korral pikendab tema ametiaega või tagandab ta ametist;

(m)  nimetab kooskõlas käesoleva määruse artikliga 33 ametisse kutsealaste kriteeriumide põhjal valitud tegevdirektori ning vajaduse korral pikendab tema ametiaega või tagandab ta ametist;

Muudatusettepanek    140

Ettepanek võtta vastu määrus

Artikkel 14 – lõige 1 – punkt o

Komisjoni ettepanek

Muudatusettepanek

(o)  teeb kõik otsused ameti sisestruktuuri loomise ja vajaduse korral selle muutmise kohta, võttes arvesse ameti tegevusega seotud vajadusi ja lähtudes usaldusväärsest eelarvehaldusest;

(o)  teeb kõik otsused ameti sisestruktuuri loomise ja vajaduse korral selle muutmise kohta, võttes arvesse ameti tegevusega seotud vajadusi, nagu on loetletud käesolevas määruses, ja lähtudes usaldusväärsest eelarvehaldusest;

Muudatusettepanek    141

Ettepanek võtta vastu määrus

Artikkel 16 – lõige 4

Komisjoni ettepanek

Muudatusettepanek

4.  Alalise sidusrühma liikmed võivad esimehe kutsel osaleda haldusnõukogu koosolekutel ilma hääleõiguseta.

4.  ENISA nõuanderühma liikmed võivad esimehe kutsel osaleda haldusnõukogu koosolekutel ilma hääleõiguseta.

Muudatusettepanek    142

Ettepanek võtta vastu määrus

Artikkel 18 – lõige 3

Komisjoni ettepanek

Muudatusettepanek

3.  Juhatuse moodustavad haldusnõukogu liikmete seast nimetatud viis liiget, nende hulgas haldusnõukogu esimees, kes võib olla ka juhatuse esimees, ning üks komisjoni esindaja. Tegevdirektor osaleb juhatuse koosolekutel, kuid tal ei ole hääleõigust.

3.  Juhatuse moodustavad haldusnõukogu liikmete seast nimetatud viis liiget, nende hulgas haldusnõukogu esimees, kes võib olla ka juhatuse esimees, ning üks komisjoni esindaja. Tegevdirektor osaleb juhatuse koosolekutel, kuid tal ei ole hääleõigust. Ametissenimetamisega püütakse saavutada tasakaalustatud sooline esindatus juhatuses.

Selgitus

Juhatuse liikmete nimetamisel tuleb samuti seada eesmärgiks sooline tasakaal, peegeldades haldusnõukogu käsitlevaid sätteid artikli 13 lõikes 3.

Muudatusettepanek    143

Ettepanek võtta vastu määrus

Artikkel 19 – lõige 2

Komisjoni ettepanek

Muudatusettepanek

2.  Tegevdirektor annab Euroopa Parlamendile selle taotluse korral aru oma ülesannete täitmise kohta. Nõukogu võib kutsuda tegevdirektori oma ülesannete täitmisest aru andma.

2.  Tegevdirektor annab Euroopa Parlamendile igal aastal või selle taotluse korral aru oma ülesannete täitmise kohta. Nõukogu võib kutsuda tegevdirektori oma ülesannete täitmisest aru andma.

Muudatusettepanek    144

Ettepanek võtta vastu määrus

Artikkel 19 – lõige 5 a (uus)

Komisjoni ettepanek

Muudatusettepanek

 

5 a.  Tegevdirektoril on samuti õigus tegutseda küberturvalisuse poliitika valdkonnas Euroopa Komisjoni presidendi institutsioonilise erinõunikuna, kelle mandaat on kindlaks määratud komisjoni 6. veebruari 2014. aasta otsuses C(2014) 541.

Muudatusettepanek    145

Ettepanek võtta vastu määrus

Artikkel 20 – pealkiri

Komisjoni ettepanek

Muudatusettepanek

Alaline sidusrühm

ENISA nõuanderühm

 

(Muudatusettepanekut kohaldatakse kogu teksti ulatuses. Selle vastuvõtmise korral tehakse vastavad muudatused kogu tekstis.)

Muudatusettepanek    146

Ettepanek võtta vastu määrus

Artikkel 20 – lõige 1

Komisjoni ettepanek

Muudatusettepanek

1.  Haldusnõukogu loob tegevdirektori ettepanekul alalise sidusrühma, mis koosneb asjaomaseid sidusrühmi esindavatest tunnustatud ekspertidest, näiteks IKT tööstuse, avalikkusele kättesaadavate elektroonilise side võrkude või teenuste pakkujate ja tarbijarühmade ekspertidest, küberturvalisusega tegelevatest akadeemilistest ekspertidest ning [Euroopa elektroonilise side seadustiku kehtestamise direktiivi] alusel teavitatud riiklike reguleerivate asutuste esindajatest, samuti liidu õiguskaitseasutuste ja andmekaitse järelevalveasutuste esindajatest.

1.  Haldusnõukogu loob tegevdirektori ettepanekul läbipaistval viisil ENISA nõuanderühma, mis koosneb asjaomaseid sidusrühmi esindavatest tunnustatud turbeekspertidest, näiteks IKT tööstuse (sealhulgas VKEd), võrgu- ja infoturbe direktiivi kohaste oluliste teenuste operaatorite, avalikkusele kättesaadavate elektroonilise side võrkude või teenuste pakkujate ja tarbijarühmade ekspertidest, küberturvalisusega tegelevatest akadeemilistest ekspertidest, Euroopa standardiorganisatsioonidest, ELi asutustest ning [Euroopa elektroonilise side seadustiku kehtestamise direktiivi] alusel teavitatud riiklike reguleerivate asutuste esindajatest, samuti liidu õiguskaitseasutuste ja andmekaitse järelevalveasutuste esindajatest. Haldusnõukogu tagab eri sidusrühmade vahelise sobiva tasakaalu.

Muudatusettepanek    147

Ettepanek võtta vastu määrus

Artikkel 20 – lõige 2

Komisjoni ettepanek

Muudatusettepanek

2.  Eeskätt alalise sidusrühma liikmete arvu, koosseisu ja nimetamist haldusnõukogu poolt, tegevdirektori ettepanekut ja rühma tegevust käsitlev kord täpsustatakse ameti sise-eeskirjades ning see avalikustatakse.

2.  Eeskätt ENISA nõuanderühma liikmete arvu, koosseisu ja nimetamist haldusnõukogu poolt, tegevdirektori ettepanekut ja rühma tegevust käsitlev kord täpsustatakse ameti sise-eeskirjades ning see avalikustatakse.

Muudatusettepanek    148

Ettepanek võtta vastu määrus

Artikkel 20 – lõige 3

Komisjoni ettepanek

Muudatusettepanek

3.  Alalist sidusrühma juhatab tegevdirektor või isik, kelle tegevdirektor nimetab iga konkreetse juhtumi korral eraldi.

3.  ENISA nõuanderühma juhatab tegevdirektor või isik, kelle tegevdirektor nimetab iga konkreetse juhtumi korral eraldi.

Muudatusettepanek    149

Ettepanek võtta vastu määrus

Artikkel 20 – lõige 4

Komisjoni ettepanek

Muudatusettepanek

4.  Alalise sidusrühma liikmete ametiaeg on kaks ja pool aastat. Haldusnõukogu liige ei või olla alalise sidusrühma liige. Komisjoni ja liikmesriikide ekspertidel on õigus viibida alalise sidusrühma koosolekutel ning osaleda rühma töös. Kui tegevdirektor peab seda asjakohaseks, võib kutsuda alalise sidusrühma koosolekutel ning selle töös osalema teiste asutuste esindajaid, kes ei ole alalise sidusrühma liikmed.

4.  ENISA nõuanderühma liikmete ametiaeg on kaks ja pool aastat. Haldusnõukogu liige ei või olla ENISA nõuanderühma liige. Komisjoni ja liikmesriikide ekspertidel on õigus viibida ENISA nõuanderühma koosolekutel ning osaleda rühma töös. Kui tegevdirektor peab seda asjakohaseks, võib kutsuda ENISA nõuanderühma koosolekutel ning selle töös osalema teiste asutuste esindajaid, kes ei ole ENISA nõuanderühma liikmed.

Muudatusettepanek    150

Ettepanek võtta vastu määrus

Artikkel 20 – lõige 4 a (uus)

Komisjoni ettepanek

Muudatusettepanek

 

4 a.  ENISA nõuanderühm esitab korrapäraselt ajakohastatud teavet oma plaanide kohta kogu aasta vältel ja kehtestab eesmärgid oma tööprogrammis, mis avaldatakse läbipaistvuse tagamiseks iga kuue kuu tagant.

Muudatusettepanek    151

Ettepanek võtta vastu määrus

Artikkel 20 – lõige 5

Komisjoni ettepanek

Muudatusettepanek

5.  Alaline sidusrühm nõustab ametit tema ülesannete täitmisel. Eelkõige annab rühm tegevdirektorile soovitusi ameti tööprogrammi ettepaneku koostamiseks ning tagab teabevahetuse asjaomaste sidusrühmadega kõikides tööprogrammiga seotud küsimustes.

5.  ENISA nõuanderühm nõustab ametit tema ülesannete täitmisel, välja arvatud seoses käesoleva määruse III jaotise kohaldamisega. Eelkõige annab rühm tegevdirektorile soovitusi ameti tööprogrammi ettepaneku koostamiseks ning tagab teabevahetuse asjaomaste sidusrühmadega tööprogrammiga seotud küsimustes.

Muudatusettepanek    152

Ettepanek võtta vastu määrus

Artikkel 20 a (uus)

Komisjoni ettepanek

Muudatusettepanek

 

Artikkel 20 a

 

Sidusrühmade sertifitseerimisrühm

 

1.   Tegevdirektor loob sidusrühmade sertifitseerimisrühma, mis koosneb üldisest nõuandekomiteest, mis annab üldiseid nõuandeid käesoleva määruse III jaotise kohaldamise kohta ja moodustab ajutisi komiteesid iga ettevalmistava kava esitamiseks, arendamiseks ja vastuvõtmiseks. Selle rühma liikmed valitakse asjaomaseid sidusrühmi esindavatest tunnustatud turbeekspertidest, näiteks IKT tööstuse (sealhulgas VKEd), võrgu- ja infoturbe direktiivi kohaste oluliste teenuste operaatorite, avalikkusele kättesaadavate elektroonilise side võrkude või teenuste pakkujate ja tarbijarühmade ekspertidest, küberturvalisusega tegelevatest akadeemilistest ekspertidest, Euroopa standardiorganisatsioonidest ning [Euroopa elektroonilise side seadustiku kehtestamise direktiivi] alusel teavitatud riiklike reguleerivate asutuste esindajatest, samuti liidu õiguskaitseasutuste ja andmekaitse järelevalveasutuste esindajatest.

 

2.   Eeskätt sidusrühmade sertifitseerimisrühma liikmete arvu, koosseisu ja nimetamist tegevdirektori poolt ja rühma tegevust käsitlev kord täpsustatakse ameti sise-eeskirjades, see järgib parimaid tavasid kõigi sidusrühmade õiglase esindatuse ja võrdsete õiguste tagamisel ning see avalikustatakse.

 

3.   Haldusnõukogu liige ei või olla sidusrühmade sertifitseerimisrühma liige. ENISA nõuanderühma liige võib olla ka sidusrühmade sertifitseerimisrühma liige. Komisjoni ja liikmesriikide ekspertidel on õigus viibida sidusrühmade sertifitseerimisrühma koosolekutel, kui neid kutsutakse. Kui tegevdirektor peab seda asjakohaseks, võib kutsuda sidusrühmade sertifitseerimisrühma koosolekutel ning selle töös osalema teiste asutuste esindajaid.

 

4.   Sidusrühmade sertifitseerimisrühm nõustab ametit tema ülesannete täitmisel seoses käesoleva määruse III jaotisega. Eelkõige on rühmal õigus teha komisjonile ettepanek koostada Euroopa küberturvalisuse sertifitseerimise ettevalmistav kava, nagu on sätestatud käesoleva määruse artiklis 44, ning osaleda kõnealuste kavade heakskiitmisel käesoleva määruse artiklites 43–48 ja artiklis 53 osutatud menetlustes.

Muudatusettepanek    153

Ettepanek võtta vastu määrus

Artikkel 21 a (uus)

Komisjoni ettepanek

Muudatusettepanek

 

Artikkel 21 a

 

Ametile esitatav taotlus

 

1. Amet peaks looma ühtse kontaktpunkti, mille kaudu adresseeritakse ameti eesmärkide ja ülesannete hulka kuuluvaid nõuande- ja abitaotluseid, ja seda haldama. Kõnealustele taotlustele tuleks lisada käsitletavat küsimust selgitav taustteave. Amet peaks esitama võimaliku mõju vahenditele ning esimesel võimalusel ka taotluste järelmeetmed. Kui amet lükkab taotluse tagasi, põhjendab ta seda.

 

2. Lõikes 1 osutatud taotlusi võivad esitada

 

(a) Euroopa Parlament;

 

(b) nõukogu;

 

(c) komisjon ning

 

(d) kõik liikmesriikide määratud pädevad asutused, näiteks direktiivi 2002/21/EÜ artiklis 2 määratletud riigi reguleerivad asutused.

 

3. Haldusnõukogu sätestab ameti sise-eeskirjades lõigete 1 ja 2 kohaldamise praktilise korra, eelkõige seoses taotluste esitamise, tähtsuse järgi järjestamise, järelmeetmete ja teavitamisega.

Muudatusettepanek    154

Ettepanek võtta vastu määrus

Artikkel 24 – lõige 2

Komisjoni ettepanek

Muudatusettepanek

2.  Haldusnõukogu liikmed, tegevdirektor, alalise sidusrühma liikmed, ajutistes töörühmades osalevad väliseksperdid ning ameti töötajad, sealhulgas liikmesriikide poolt ajutiselt lähetatud ametnikud järgivad Euroopa Liidu toimimise lepingu (ELi toimimise leping) artiklis 339 sätestatud konfidentsiaalsuse nõudeid, seda isegi pärast nende töökohustuste lõppemist.

2.  Haldusnõukogu liikmed, tegevdirektor, ENISA nõuanderühma liikmed, ajutistes töörühmades osalevad väliseksperdid ning ameti töötajad, sealhulgas liikmesriikide poolt ajutiselt lähetatud ametnikud järgivad Euroopa Liidu toimimise lepingu (ELi toimimise leping) artiklis 339 sätestatud konfidentsiaalsuse nõudeid, seda isegi pärast nende töökohustuste lõppemist.

Muudatusettepanek    155

Ettepanek võtta vastu määrus

Artikkel 26 – lõige 1 – lõik 1 a (uus)

Komisjoni ettepanek

Muudatusettepanek

 

Esialgne eelarvestuse projekt põhineb käesoleva määruse artikli 21 lõikes 1 osutatud ühtse programmdokumendi eesmärkidel ja oodatavatel tulemustel ning selles võetakse arvesse kõnealuste eesmärkide ja oodatavate tulemuste saavutamiseks vajalikke finantsressursse tulemuspõhise eelarvestamise põhimõtte kohaselt.

Muudatusettepanek    156

Ettepanek võtta vastu määrus

Artikkel 30 – lõige 2

Komisjoni ettepanek

Muudatusettepanek

2.  Kontrollikojal on õigus auditeerida dokumentide põhjal ja kohapeal kõiki toetusesaajaid, töövõtjaid ja alltöövõtjaid, keda amet on rahastanud liidu vahenditest.

2.  Kontrollikojal on õigus auditeerida dokumentide põhjal ja kohapeal kontrollida kõiki toetusesaajaid, töövõtjaid ja alltöövõtjaid, keda amet on rahastanud liidu vahenditest.

Muudatusettepanek    157

Ettepanek võtta vastu määrus

Artikkel 36 – lõige 5

Komisjoni ettepanek

Muudatusettepanek

5.  Teenistujate vastutust ameti ees reguleerivad ameti töötajate suhtes kohaldatavad sätted.

5.  Teenistujate vastutust ameti ees reguleerivad ameti töötajate suhtes kohaldatavad sätted. Tagatakse töötajate tõhus töölevõtmine.

Muudatusettepanek    158

Ettepanek võtta vastu määrus

Artikkel 37 – lõige 2

Komisjoni ettepanek

Muudatusettepanek

2.  Ameti toimimiseks vajalikke tõlketeenuseid osutab Euroopa Liidu Asutuste Tõlkekeskus.

2.  Ameti toimimiseks vajalikke tõlketeenuseid osutab Euroopa Liidu Asutuste Tõlkekeskus või osutavad muud tõlketeenuse osutajad kooskõlas hanke-eeskirjadega ning asjakohastes finantseeskirjades ette nähtud piirides.

Muudatusettepanek    159

Ettepanek võtta vastu määrus

Artikkel 39 – lõige 1

Komisjoni ettepanek

Muudatusettepanek

1.  Niivõrd kui see on vajalik käesoleva määruse eesmärkide saavutamiseks, võib amet teha koostööd kolmandate riikide pädevate asutuste ja/või rahvusvaheliste organisatsioonidega. Selleks võib amet komisjoni eelneval nõusolekul leppida kolmandate riikide asutuste ja rahvusvaheliste organisatsioonidega kokku koostöökorra. Kõnealune koostöökord ei too liidule ega selle liikmesriikidele kaasa õiguslikke kohustusi.

1.  Niivõrd kui see on vajalik käesoleva määruse eesmärkide saavutamiseks, võib amet teha koostööd kolmandate riikide pädevate asutuste ja/või rahvusvaheliste organisatsioonidega. Selleks võib amet komisjoni eelneval nõusolekul leppida kolmandate riikide asutuste ja rahvusvaheliste organisatsioonidega kokku koostöökorra. Koostöö NATOga (kui see toimub) võib hõlmata küberturvalisuse ühisõppusi ja küberintsidentidele ühiselt reageerimise koordineerimist. Kõnealune koostöökord ei too liidule ega selle liikmesriikidele kaasa õiguslikke kohustusi.

Selgitus

Arvestades küberintsidentide piiriülest laadi, peaks ENISA tegema koostööd küberturvalisuse osalistega Euroopas (nt NATO), kui see on asjakohane. See on eriti oluline, kuna NATO-l võib olla kübervaldkonnas suutlikkus, mida ENISA-l ei ole, ja vastupidi. Liikmesriikide kui terviku vastu suunatud küberrünnete arvu suurenemist arvesse võttes on Euroopa julgeoleku seisukohast hädavajalik, et ENISA teeks rahvusvahelisel tasandil koostööd selliste rahvusvaheliste organisatsioonidega nagu NATO.

Muudatusettepanek    160

Ettepanek võtta vastu määrus

Artikkel 41 – lõige 2

Komisjoni ettepanek

Muudatusettepanek

2.  Ameti asukohaliikmesriik tagab ametile parimad võimalikud tegutsemistingimused, et tagada ameti nõuetekohane toimimine, sealhulgas asukoha ligipääsetavus, sobivate haridusasutuste olemasolu töötajate laste jaoks, laste ja abikaasade piisav juurdepääs tööturule, sotsiaalkindlustusele ja arstiabile.

2.  Ameti asukohaliikmesriik tagab ametile parimad võimalikud tegutsemistingimused, et tagada ameti nõuetekohane toimimine, sealhulgas üks asukoht kogu ameti jaoks, asukoha ligipääsetavus, sobivate haridusasutuste olemasolu töötajate laste jaoks, laste ja abikaasade piisav juurdepääs tööturule, sotsiaalkindlustusele ja arstiabile.

Selgitus

Ameti praegune struktuur (juhatuse asukoht Irákleios ja peamine tegevuskoht Ateenas) on osutunud ebatõhusaks ja kulukaks. Seepärast peaksid kõik ENISA töötajad töötama ühes linnas. Käesolevas lõikes nimetatud kriteeriumide põhjal peaks see asukoht olema Ateenas.

Muudatusettepanek    161

Ettepanek võtta vastu määrus

Artikkel 43 – lõik 1

Komisjoni ettepanek

Muudatusettepanek

Euroopa küberturvalisuse sertifitseerimise kava kinnitab, et selle kava kohaselt sertifitseeritud IKT tooted ja teenused vastavad kirjeldatud nõuetele selles osas, mis puudutab nende võimet pidada teataval usaldusväärsuse tasemel vastu tegevustele, mille eesmärk on rikkuda salvestatud, edastatud või töödeldud andmete või nende toodete, protsesside, teenuste ja süsteemide funktsioonide või nende poolt pakutavate või nende kaudu juurdepääsetavate teenuste käideldavust, autentsust, terviklust või konfidentsiaalsust.

Euroopa küberturvalisuse sertifitseerimise kava kinnitab, et kavaga hõlmatud IKT toodetel, protsessidel ja teenustel ei ole sertifitseerimise ajal ühtegi teadaolevat turvanõrkust ning need vastavad kirjeldatud nõuetele, mis võivad viidata Euroopa ja rahvusvahelistele standarditele, tehnilistele kirjeldustele või IKT tehnilisele kirjeldusele, selles osas, mis puudutab nende võimet pidada kogu nende olelusringi ajal teataval usaldusväärsuse tasemel vastu tegevustele, mille eesmärk on rikkuda salvestatud, edastatud või töödeldud andmete või nende toodete, protsesside ja teenuste funktsioonide või nende poolt pakutavate või nende kaudu juurdepääsetavate teenuste käideldavust, autentsust, terviklust või konfidentsiaalsust, ning vastavad konkreetsetele turvalisusega seotud eesmärkidele.

Muudatusettepanek    162

Ettepanek võtta vastu määrus

Artikkel 44 – lõige -1 (uus)

Komisjoni ettepanek

Muudatusettepanek

 

-1.  Komisjon võtab kooskõlas artikliga 55 a vastu delegeeritud õigusaktid käesoleva määruse täiendamiseks, kehtestades Euroopa küberturvalisuse sertifitseerimise kavadele liidu jooksva tööprogrammi. Kõnealuste delegeeritud õigusaktidega määratakse kindlaks liidu tasandil võetavad ühismeetmed ja strateegilised prioriteedid. Liidu jooksev tööprogramm sisaldab eelkõige loetelu prioriteetsetest Euroopa küberturvalisuse sertifitseerimise kava jaoks sobilikest IKT toodetest, protsessidest ja teenustest ning analüüsi selle kohta, kas vastavushindamisasutuste ja riiklike sertifitseerimise järelevalveasutuste kvaliteedi, oskusteabe ja teadmiste tase on võrdväärne, ning vajaduse korral ettepanekut meetmete kohta, mille abil see võrdväärne tase saavutatakse.

 

Liidu esialgne jooksev tööprogramm kehtestatakse hiljemalt ... [kuus kuud pärast käesoleva määruse jõustumist] ja seda ajakohastatakse seejärel vajaduse korral, kuid vähemalt iga kahe aasta järel. Liidu jooksev tööprogramm tehakse üldsusele kättesaadavaks.

 

Enne liidu jooksva tööprogrammi vastuvõtmist või ajakohastamist konsulteerib komisjon avatud, läbipaistval ja kaasaval viisil liikmesriikide sertifitseerimisrühma, ameti ja sidusrühmade sertifitseerimisrühmaga.

Muudatusettepanek    163

Ettepanek võtta vastu määrus

Artikkel 44 – lõige -1 a (uus)

Komisjoni ettepanek

Muudatusettepanek

 

-1 a.  Põhjendatud juhul võib komisjon paluda ametil koostada Euroopa küberturvalisuse sertifitseerimise ettevalmistava kava. Taotlus peab põhinema liidu jooksval tööprogrammil.

Muudatusettepanek    164

Ettepanek võtta vastu määrus

Artikkel 44 – lõige 1

Komisjoni ettepanek

Muudatusettepanek

1.  Komisjoni taotluse põhjal koostab ENISA Euroopa küberturvalisuse sertifitseerimise ettevalmistava kava, mis vastab käesoleva määruse artiklites 45, 46 ja 47 sätestatud tingimustele. Liikmesriigid või artikliga 53 loodud Euroopa küberturvalisuse sertifitseerimise rühm (edaspidi „rühm“) võivad teha komisjonile ettepaneku koostada Euroopa küberturvalisuse sertifitseerimise ettevalmistav kava.

1.  Euroopa küberturvalisuse sertifitseerimise ettevalmistava kava koostamise taotlus peab sisaldama ulatust, artiklis 45 osutatud kohaldatavaid turvalisusega seotud eesmärke, artiklis 47 osutatud kohaldatavaid elemente ja tähtaega, mil konkreetne ettevalmistav kava jõustub. Taotluse koostamisel võib komisjon konsulteerida ameti, liikmesriikide sertifitseerimisrühma ja sidusrühmade sertifitseerimisrühmaga.

Muudatusettepanek    165

Ettepanek võtta vastu määrus

Artikkel 44 – lõige 2

Komisjoni ettepanek

Muudatusettepanek

2.  Käesoleva artikli lõikes 1 osutatud ettevalmistavat kava koostades konsulteerib ENISA kõigi asjaomaste sidusrühmadega ja teeb rühmaga tihedat koostööd. Rühm pakub ENISA-le viimase taotluse korral abi ja eksperdinõu seoses ettevalmistava sertifitseerimiskava koostamisega, esitades vajaduse korral ka arvamusi.

2.  Lõikes -1 (uus) osutatud ettevalmistavat kava koostades konsulteerib amet kõigi asjaomaste sidusrühmadega ametliku, avatud, läbipaistva ja kaasava konsulteerimise abil ning teeb tihedat koostööd liikmesriikide sertifitseerimisrühma, sidusrühmade sertifitseerimisrühma, käesoleva määruse artiklile 20 a vastavate ajutiste komiteede ja Euroopa standardiorganisatsioonidega. Nad pakuvad ametile ameti taotluse korral abi ja eksperdinõu seoses ettevalmistava sertifitseerimiskava koostamisega, esitades vajaduse korral ka arvamusi.

Muudatusettepanek    166

Ettepanek võtta vastu määrus

Artikkel 44 – lõige 3

Komisjoni ettepanek

Muudatusettepanek

3.  ENISA edastab käesoleva artikli lõike 2 kohaselt koostatud Euroopa küberturvalisuse sertifitseerimise ettevalmistava kava komisjonile.

3.  Amet edastab käesoleva artikli lõigete 1 ja 2 kohaselt koostatud ettevalmistava kava komisjonile.

Muudatusettepanek    167

Ettepanek võtta vastu määrus

Artikkel 44 – lõige 4

Komisjoni ettepanek

Muudatusettepanek

4.  Komisjon võib ENISA esitatud ettevalmistava kava põhjal võtta kooskõlas artikli 55 lõikega 1 vastu rakendusaktid, millega nähakse ette Euroopa küberturvalisuse sertifitseerimise kavad IKT toodete ja teenuste jaoks, mis vastavad käesoleva määruse artiklite 45, 46 ja 47 nõuetele.

4.  Komisjon võib ameti esitatud ettevalmistava kava põhjal võtta kooskõlas artikliga 55 a vastu delegeeritud õigusaktid käesoleva määruse täiendamiseks, nähes ette Euroopa küberturvalisuse sertifitseerimise kavad IKT toodete, protsesside ja teenuste jaoks, mis vastavad artiklite 45, 46 ja 47 nõuetele.

Muudatusettepanek    168

Ettepanek võtta vastu määrus

Artikkel 44 – lõige 5

Komisjoni ettepanek

Muudatusettepanek

5.  ENISA haldab spetsiaalset veebilehte, mis pakub teavet Euroopa küberturvalisuse sertifitseerimise kavade kohta ja tutvustab neid.

5.  Amet haldab spetsiaalset veebilehte, mis pakub teavet Euroopa küberturvalisuse sertifitseerimise kavade, sealhulgas tühistatud ja aegunud sertifikaatide ning hõlmatud riiklike sertifitseerimiste kohta ja tutvustab neid.

 

Juhul kui Euroopa küberturvalisuse sertifitseerimise kava vastab nõuetele, millele see peab eesmärgi kohaselt vastama kooskõlas asjakohaste liidu ühtlustamisõigusaktidega, avaldab komisjon viivitamata viite sellele kavale Euroopa Liidu Teatajas ja liidu asjakohases ühtlustamisõigusaktis sätestatud muul viisil.

Muudatusettepanek    169

Ettepanek võtta vastu määrus

Artikkel 44 – lõige 5 a (uus)

Komisjoni ettepanek

Muudatusettepanek

 

5 a.  Amet vaatab vastuvõetud kavad kooskõlas käesoleva määruse alusel kehtestatud struktuuriga läbi nende kehtivuse lõppemisel vastavalt artikli 47 lõike 1 punktile a c või komisjoni taotluse korral, võttes arvesse asjaomastelt sidusrühmadelt saadud tagasisidet.

Muudatusettepanek    170

Ettepanek võtta vastu määrus

Artikkel 45 – lõik 1 – sissejuhatav osa

Komisjoni ettepanek

Muudatusettepanek

Euroopa küberturvalisuse sertifitseerimise kava peab olema koostatud nii, et võtta vajaduse korral arvesse järgmisi turvalisusega seotud eesmärke:

Euroopa küberturvalisuse sertifitseerimise kava peab olema koostatud nii, et võtta vajaduse korral arvesse turvalisusega seotud eesmärke:

Muudatusettepanek    171

Ettepanek võtta vastu määrus

Artikkel 45 – lõik 1 – punkt a

Komisjoni ettepanek

Muudatusettepanek

(a)  kaitsta salvestatud, edastatud või muul moel töödeldud andmeid juhusliku või volitamata salvestamise, töötlemise, juurdepääsu või avalikustamise eest;

(a)  tagada teenuste, funktsioonide ja andmete konfidentsiaalsus, terviklus, käideldavus ja privaatsus;

Muudatusettepanek    172

Ettepanek võtta vastu määrus

Artikkel 45 – lõik 1 – punkt b

Komisjoni ettepanek

Muudatusettepanek

(b)  kaitsta salvestatud, edastatud või muul moel töödeldud andmeid juhusliku või volitamata hävitamise ja juhusliku kaotsimineku või muutmise eest;

(b)  tagada, et teenustele, funktsioonidele ja andmetele pääsevad juurde ja neid saavad kasutada üksnes volitatud isikud ja/või volitatud süsteemid ja programmid;

Muudatusettepanek    173

Ettepanek võtta vastu määrus

Artikkel 45 – lõik 1 – punkt c

Komisjoni ettepanek

Muudatusettepanek

(c)  tagada, et volitatud kasutajatel, programmidel ja masinatel oleks juurdepääs üksnes neile andmetele, teenustele või funktsioonidele, millele neil on juurdepääsuõigused;

(c)  tagada, et kehtestatud on protsess, millega tehakse kindlaks ja dokumenteeritakse IKT toodete, protsesside ja teenuste kõik sõltuvusseosed ja teadaolevad turvanõrkused;

Muudatusettepanek    174

Ettepanek võtta vastu määrus

Artikkel 45 – lõik 1 – punkt d

Komisjoni ettepanek

Muudatusettepanek

(d)  talletada, milliseid andmeid, teenuseid või funktsioone on edastatud, millal ja kelle poolt;

(d)  tagada, et IKT toodetel, protsessidel ja teenustel ei ole teadaolevaid turvanõrkusi;

Muudatusettepanek    175

Ettepanek võtta vastu määrus

Artikkel 45 – lõik 1 – punkt e

Komisjoni ettepanek

Muudatusettepanek

(e)  tagada võimalus kontrollida, millal ja kes on pääsenud juurde millistele andmetele, teenustele või funktsioonidele või neid kasutanud;

(e)  tagada, et kehtestatud on protsess IKT toodete, protsesside ja teenuste uute avastatud turvanõrkuste kõrvaldamiseks;

Muudatusettepanek    176

Ettepanek võtta vastu määrus

Artikkel 45 – lõik 1 – punkt f

Komisjoni ettepanek

Muudatusettepanek

(f)  taastada füüsilise või tehnilise intsidendi korral õigeaegselt andmete, teenuste ja funktsioonide käideldavus ja juurdepääs neile;

(f)  tagada, et IKT tooted, protsessid ja teenused on vaikimisi ja sisseprojekteeritult turvalised;

Muudatusettepanek    177

Ettepanek võtta vastu määrus

Artikkel 45 – lõik 1 – punkt g

Komisjoni ettepanek

Muudatusettepanek

(g)  tagada, et IKT tooteid ja teenuseid pakutakse ajakohastatud tarkvaraga, mis ei sisalda teadaolevaid turvaauke, ning et olemas on mehhanismid turvaliseks tarkvara uuendamiseks.

(g)  tagada, et IKT tooteid ja teenuseid pakutakse ajakohastatud tarkvaraga, mis ei sisalda teadaolevaid turvaauke, ning et olemas on mehhanismid turvaliseks tarkvara uuendamiseks;

Muudatusettepanek    178

Ettepanek võtta vastu määrus

Artikkel 45 – lõik 1 – punkt g a (uus)

Komisjoni ettepanek

Muudatusettepanek

 

(g a)  tagada, et muud küberintsidentidega seotud ohud, nagu oht elule, tervisele, keskkonnale ja muudele olulistele õiguslikele huvidele, on minimaalsed.

Muudatusettepanek    179

Ettepanek võtta vastu määrus

Artikkel 46 – lõige 1

Komisjoni ettepanek

Muudatusettepanek

1.  Euroopa küberturvalisuse sertifitseerimise kavas määratakse selle kava raames sertifitseeritud IKT toodetele ja teenustele üks või mitu järgmist usaldusväärsuse taset: baastase, märkimisväärne ja/või kõrge tase.

1.  Euroopa küberturvalisuse sertifitseerimise kavas määratakse selle kava raames sertifitseeritud IKT toodetele, protsessidele ja teenustele vastavalt kontekstile ja nende ettenähtud kasutusele üks või mitu järgmist riskipõhist usaldusväärsuse taset: baastase, märkimisväärne ja/või kõrge tase.

Muudatusettepanek    180

Ettepanek võtta vastu määrus

Artikkel 46 – lõige 2 – punkt a

Komisjoni ettepanek

Muudatusettepanek

(a)  usaldusväärsuse baastase osutab Euroopa küberturvalisuse sertifitseerimise kava raames väljastatud sertifikaadile, mis annab piiratud usalduse IKT toote või teenuse väidetavate või kinnitatud küberturvalisuse omaduste vastu ning mille kirjeldamisel osutatakse sellega seotud tehnilistele kirjeldustele, standarditele ja menetlustele, sealhulgas tehnilisele kontrollile, mille eesmärk on vähendada küberturvalisuse intsidentide riski;

(a)  usaldusväärsuse baastase vastab kombineeritud tõenäosuse ja kahju puhul väikesele riskile IKT toote, protsessi ja teenuse suhtes, arvestades toote, protsessi või teenuse ettenähtud kasutust ja konteksti. Usaldusväärsuse baastase annab kindlustunde, et küberintsidentide teadaolevatele põhiriskidele on võimalik vastu pidada;

Muudatusettepanek    181

Ettepanek võtta vastu määrus

Artikkel 46 – lõige 2 – punkt b

Komisjoni ettepanek

Muudatusettepanek

(b)  märkimisväärne usaldusväärsuse tase osutab Euroopa küberturvalisuse sertifitseerimise kava raames väljastatud sertifikaadile, mis annab märkimisväärse usalduse IKT toote või teenuse väidetavate või kinnitatud küberturvalisuse omaduste vastu ning mille kirjeldamisel osutatakse sellega seotud tehnilistele kirjeldustele, standarditele ja menetlustele, sealhulgas tehnilisele kontrollile, mille eesmärk on vähendada märkimisväärselt küberturvalisuse intsidentide riski;

(b)  märkimisväärne usaldusväärsuse tase vastab kombineeritud tõenäosuse ja kahju puhul suuremale riskile IKT toote, protsessi ja teenuse suhtes. Märkimisväärne usaldusväärsuse tase annab kindlustunde, et küberintsidentide teadaolevaid riske on võimalik ennetada ning et ka piiratud vahenditega toime pandavatele küberrünnetele on võimalik vastu pidada;

Muudatusettepanek    182

Ettepanek võtta vastu määrus

Artikkel 46 – lõige 2 – punkt c

Komisjoni ettepanek

Muudatusettepanek

(c)  kõrge usaldusväärsuse tase osutab Euroopa küberturvalisuse sertifitseerimise kava raames väljastatud sertifikaadile, mis annab kõrgema usalduse IKT toote või teenuse väidetavate või kinnitatud küberturvalisuse omaduste vastu kui märkimisväärse usaldusväärsuse tasemega sertifikaat ning mille kirjeldamisel osutatakse sellega seotud tehnilistele kirjeldustele, standarditele ja menetlustele, sealhulgas tehnilisele kontrollile, mille eesmärk on vältida küberturvalisuse intsidente.

(c)  kõrge usaldusväärsuse tase vastab kahju puhul suurele riskile IKT toote, protsessi ja teenuse suhtes. Kõrge usaldusväärsuse tase annab kindlustunde, et küberintsidentide riske on võimalik ennetada ning et ka uusimatele märkimisväärsete vahenditega toime pandavatele küberrünnetele on võimalik vastu pidada.

Muudatusettepanek    183

Ettepanek võtta vastu määrus

Artikkel 46 a (uus)

Komisjoni ettepanek

Muudatusettepanek

 

Artikkel 46 a

 

Euroopa küberturvalisuse sertifitseerimise kavade usaldusväärsuse tasemete hindamine

 

1.   Usaldusväärsuse baastaseme korral võib IKT toodete tootja või pakkuja, IKT protsesside pakkuja ja IKT teenuste osutaja teha nõuetele vastavuse hindamise omal vastutusel ise.

 

2.   Märkimisväärse usaldusväärsuse taseme korral juhindutakse hindamisel vähemalt toote, protsessi või teenuse turvafunktsioonide tehnilisele dokumentatsioonile vastavuse kontrollimisest.

 

3.   Kõrge usaldusväärsuse taseme hindamismetoodika põhineb vähemalt tõhususe kontrollimisel, mille käigus hinnatakse turvafunktsioonide võimet pidada vastu märkimisväärsete vahendite abil toime pandavatele küberrünnetele.

Muudatusettepanek    184

Ettepanek võtta vastu määrus

Artikkel 47 – lõige 1 – punkt a

Komisjoni ettepanek

Muudatusettepanek

(a)  sertifitseerimise sisu ja ulatus, sealhulgas hõlmatud IKT toodete ja teenuste liik või kategooria;

(a)  sertifitseerimise sisu ja ulatus, sealhulgas hõlmatud IKT toodete, protsesside ja teenuste liik või kategooria;

Muudatusettepanek    185

Ettepanek võtta vastu määrus

Artikkel 47 – lõige 1 – punkt a a (uus)

Komisjoni ettepanek

Muudatusettepanek

 

(a a)  ulatus ja küberturvalisuse nõuded; vajaduse korral kajastavad ulatus ja nõuded nende riiklike küberturvalisuse sertifitseerimiste ulatust ja nõudeid, mida kava asendab või mis on sätestatud õigusaktides;

Muudatusettepanek    186

Ettepanek võtta vastu määrus

Artikkel 47 – lõige 1 – punkt a b (uus)

Komisjoni ettepanek

Muudatusettepanek

 

(a b)  sertifitseerimiskava kehtivusaeg;

Muudatusettepanek    187

Ettepanek võtta vastu määrus

Artikkel 47 – lõige 1 – punkt b

Komisjoni ettepanek

Muudatusettepanek

(b)  konkreetsete IKT toodete ja teenuste puhul hinnatavate küberturvalisuse nõuete üksikasjalik kirjeldus , näiteks viidates liidu või rahvusvahelistele standarditele või tehnilistele kirjeldustele;

(b)  konkreetsete IKT toodete, protsesside ja teenuste puhul hinnatavate küberturvalisuse nõuete üksikasjalik kirjeldus, näiteks viidates Euroopa või rahvusvahelistele standarditele, tehnilistele kirjeldustele või IKT tehnilistele kirjeldustele; nõuded on kindlaks määratud nii, et asjaomase sertifitseerimise saab lisada tootja süstemaatilistesse turvalisuse protsessidesse, mida järgitakse asjaomase toote või teenuse väljatöötamisel ja olelusringi vältel, või see võib nendel protsessidel põhineda;

Muudatusettepanek    188

Ettepanek võtta vastu määrus

Artikkel 47 – lõige 1 – punkt b a (uus)

Komisjoni ettepanek

Muudatusettepanek

 

(b a)  teave teadaolevate küberohtude kohta, mida sertifitseerimine ei hõlma, ja nendega toimetulemise juhised;

Muudatusettepanek    189

Ettepanek võtta vastu määrus

Artikkel 47 – lõige 1 – punkt c

Komisjoni ettepanek

Muudatusettepanek

(c)  vajaduse korral üks või mitu usaldusväärsuse taset;

(c)  vajaduse korral üks või mitu usaldusväärsuse taset, võttes muu hulgas arvesse riskipõhist lähenemisviisi;

Muudatusettepanek    190

Ettepanek võtta vastu määrus

Artikkel 47 – lõige 1 – punkt c a (uus)

Komisjoni ettepanek

Muudatusettepanek

 

(c a)  teave selle kohta, kas kava raames on lubatud nõuetele vastavust ise hinnata, ja vastavushindamise või ettevõtja vastavuskinnituse või mõlema suhtes kohaldatav menetlus;

Muudatusettepanek    191

Ettepanek võtta vastu määrus

Artikkel 47 – lõige 1 – punkt d

Komisjoni ettepanek

Muudatusettepanek

(d)  konkreetsed hindamiskriteeriumid ja meetodid, sealhulgas hindamise liigid, mida kasutati tõendamaks, et artiklis 45 osutatud konkreetsed eesmärgid on täidetud;

(d)  konkreetsed hindamiskriteeriumid, vastavushindamise liigid ja meetodid, tõendamaks, et artiklis 45 osutatud konkreetsed eesmärgid on täidetud;

Muudatusettepanek    192

Ettepanek võtta vastu määrus

Artikkel 47 – lõige 1 – punkt e

Komisjoni ettepanek

Muudatusettepanek

(e)  sertifitseerimiseks vajalik teave, mille taotleja peab esitama vastavushindamisasutustele;

(e)  sertifitseerimiseks vajalik teave, mille taotleja peab esitama vastavushindamisasutustele;

Muudatusettepanek    193

Ettepanek võtta vastu määrus

Artikkel 47 – lõige 1 – punkt f

Komisjoni ettepanek

Muudatusettepanek

(f)  kui kava näeb ette märgi või märgistuse, tingimused sellise märgi või märgistuse kasutamiseks;

(f)  küberturvalisuse teave vastavalt käesoleva määruse artiklile 47 a;

Muudatusettepanek    194

Ettepanek võtta vastu määrus

Artikkel 47 – lõige 1 – punkt g

Komisjoni ettepanek

Muudatusettepanek

(g)  kui kava osaks on järelevalve, eeskirjad sertifikaatide nõuete täitmise kontrollimiseks, sealhulgas mehhanismid tõestamaks konkreetsete küberturvalisuse nõuete jätkuvat täitmist;

(g)  eeskirjad sertifikaatide nõuete täitmise kontrollimiseks, sealhulgas mehhanismid tõestamaks konkreetsete küberturvalisuse nõuete jätkuvat täitmist;

Muudatusettepanek    195

Ettepanek võtta vastu määrus

Artikkel 47 – lõige 1 – punkt h

Komisjoni ettepanek

Muudatusettepanek

(h)  tingimused sertifitseerimise võimaldamiseks, säilitamiseks, jätkamiseks ning sertifitseerimise ulatuse laiendamiseks ja vähendamiseks;

(h)  tingimused sertifikaadi väljastamiseks, säilitamiseks, jätkamiseks ja läbivaatamiseks, sertifikaadi ulatuse laiendamiseks ja vähendamiseks ning sertifikaadi kehtivusaeg;

Muudatusettepanek    196

Ettepanek võtta vastu määrus

Artikkel 47 – lõige 1 – punkt h a (uus)

Komisjoni ettepanek

Muudatusettepanek

 

(h a)  eeskirjad pärast sertifikaadi väljastamist tekkida võivate turvanõrkuste kõrvaldamiseks, kehtestades dünaamilise ja pideva organisatsioonilise protsessi, mis hõlmab nii pakkujaid kui ka kasutajaid;

Muudatusettepanek    197

Ettepanek võtta vastu määrus

Artikkel 47 – lõige 1 – punkt i

Komisjoni ettepanek

Muudatusettepanek

(i)  eeskirjad sertifitseeritud IKT toodete ja teenuste sertifitseerimistingimustele mittevastavuse tagajärgede kohta;

(i)  eeskirjad ettevõtja hinnatud ja sertifitseeritud IKT toodete ja teenuste sertifitseerimistingimustele mittevastavuse tagajärgede kohta;

Muudatusettepanek    198

Ettepanek võtta vastu määrus

Artikkel 47 – lõige 1 – punkt j

Komisjoni ettepanek

Muudatusettepanek

(j)  eeskirjad selle kohta, kuidas tuleks IKT toodete ja teenuste varem avastamata küberturvalisuse nõrkustest teada anda ja kuidas neid menetleda;

(j)  eeskirjad selle kohta, kuidas tuleks teada anda IKT toodete ja teenuste küberturvalisuse nõrkustest, mis ei ole üldsusele teada, ja kuidas neid pärast nende avastamist menetleda;

Muudatusettepanek    199

Ettepanek võtta vastu määrus

Artikkel 47 – lõige 1 – punkt l

Komisjoni ettepanek

Muudatusettepanek

(l)  sama liiki või kategooriasse kuuluvaid IKT tooteid või teenuseid hõlmavate riiklike küberturvalisuse sertifitseerimise kavade kindlakstegemine;

(l)  sama liiki või kategooriasse kuuluvaid IKT tooteid, protsesse või teenuseid, turvalisuse nõudeid ning hindamiskriteeriumeid ja -meetodeid hõlmavate riiklike või rahvusvaheliste küberturvalisuse sertifitseerimise kavade kindlakstegemine;

Muudatusettepanek    200

Ettepanek võtta vastu määrus

Artikkel 47 – lõige 1 – punkt m a (uus)

Komisjoni ettepanek

Muudatusettepanek

 

(m a)  tingimused sertifitseerimiskavade vastastikuseks tunnustamiseks kolmandate riikidega.

Muudatusettepanek    201

Ettepanek võtta vastu määrus

Artikkel 47 – lõige 1 a (uus)

Komisjoni ettepanek

Muudatusettepanek

 

1 a.  Hooldusprotsessid, mis toovad kaasa väiksemad uuendused, ei muuda sertifikaati kehtetuks, kui sellised uuendused ei avalda olulist kahjulikku mõju IKT toote, protsessi või teenuse turvalisusele.

Muudatusettepanek    202

Ettepanek võtta vastu määrus

Artikkel 47 a (uus)

Komisjoni ettepanek

Muudatusettepanek

 

Artikkel 47 a

 

Sertifitseeritud toodete, protsesside ja teenuste küberturvalisuse teave

 

1.   Käesoleva määruse kohase sertifitseerimiskavaga hõlmatud IKT toodete tootja või pakkuja, IKT protsesside pakkuja või IKT teenuste osutaja esitab lõppkasutajale elektroonilise või paberdokumendi, mis sisaldab vähemalt järgmist teavet: IKT toote, protsessi ja teenuse ettenähtud kasutusega seotud ja sertifikaadiga tagatud usaldusväärsuse tase; nende riskide kirjeldus, millele vastupidamise suhtes sertifikaat peaks kindlustunde tagama; soovitused selle kohta, kuidas kasutajad saavad uuenduste järel suurendada toote, protsessi või teenuse küberturvalisust, eeskirjadele vastavust ja toetusperioodi; vajaduse korral teave selle kohta, kuidas kasutajad saavad ründe korral säilitada toote, protsessi või teenuse põhiomadusi.

 

2.   Käesoleva artikli lõikes 1 osutatud dokument peab olema kättesaadav kogu toote, protsessi või teenuse olelusringi ajal kuni need on turul kättesaadavad, kuid vähemalt viis aastat.

 

3.   Komisjon võtab vastu rakendusaktid, millega kehtestatakse dokumendi vorm. Komisjon võib paluda ametilt ettevalmistava vormi esitamist. Nimetatud rakendusaktid võetakse vastu kooskõlas käesoleva määruse artiklis 55 osutatud kontrollimenetlusega.

Muudatusettepanek    203

Ettepanek võtta vastu määrus

Artikkel 48 – lõige 1

Komisjoni ettepanek

Muudatusettepanek

1.  Kui IKT tooted ja teenused on sertifitseeritud Euroopa küberturvalisuse sertifitseerimise kava kohaselt, mis on vastu võetud kooskõlas artikliga 44, eeldatakse, et nad vastavad sellise kava nõuetele.

1.  Kui IKT tooted, protsessid ja teenused on sertifitseeritud Euroopa küberturvalisuse sertifitseerimise kava kohaselt, mis on vastu võetud kooskõlas artikliga 44, eeldatakse, et nad vastavad sellise kava nõuetele.

Muudatusettepanek    204

Ettepanek võtta vastu määrus

Artikkel 48 – lõige 4 – sissejuhatav osa

Komisjoni ettepanek

Muudatusettepanek

4.  Erandina lõikest 3 võib nõuetekohaselt põhjendatud juhtudel teatavas Euroopa küberturvalisuse sertifitseerimise kavas ette näha, et sellest kavast tuleneva Euroopa küberturvalisuse sertifikaadi võib välja anda üksnes avalik-õiguslik asutus. Selline avalik-õiguslik asutus on üks järgnevatest asutustest:

4.  Erandina lõikest 3 ja vaid nõuetekohaselt põhjendatud juhtudel, näiteks riikliku julgeoleku kaalutlustel, võib teatavas Euroopa küberturvalisuse sertifitseerimise kavas ette näha, et sellest kavast tuleneva Euroopa küberturvalisuse sertifikaadi võib välja anda üksnes avalik-õiguslik asutus. Selline avalik-õiguslik asutus on käesoleva määruse artikli 51 lõike 1 kohaselt vastavushindamisasutusena akrediteeritud asutus. Füüsiline või juriidiline isik, kes esitab oma IKT tooted või teenused sertifitseerimiseks, peab tegema artiklis 51 osutatud vastavushindamisasutusele kättesaadavaks kogu sertifitseerimismenetluse läbiviimiseks vajaliku teabe.

Muudatusettepanek    205

Ettepanek võtta vastu määrus

Artikkel 48 – lõige 5

Komisjoni ettepanek

Muudatusettepanek

5.  Füüsiline või juriidiline isik, kes esitab oma IKT tooted või teenused sertifitseerimiseks, peab esitama artiklis 51 osutatud vastavushindamisasutusele kogu sertifitseerimismenetluse läbiviimiseks vajaliku teabe.

5.  Füüsiline või juriidiline isik, kes esitab oma IKT tooted, teenused või protsessid sertifitseerimiseks, peab esitama artiklis 51 osutatud vastavushindamisasutusele kogu sertifitseerimismenetluse läbiviimiseks vajaliku teabe, sealhulgas teabe kõigi teadaolevate turvanõrkuste kohta. IKT toote, teenuse või protsessi saab esitada hindamiseks ükskõik millisele artiklis 51 osutatud vastavushindamisasutusele.

Muudatusettepanek    206

Ettepanek võtta vastu määrus

Artikkel 48 – lõige 6

Komisjoni ettepanek

Muudatusettepanek

6.  Sertifikaat antakse maksimaalselt kolmeks aastaks ja selle kehtivust võib pikendada samadel tingimustel senikaua, kuni asjakohased nõuded on täidetud.

6.  Sertifikaat antakse maksimaalselt perioodiks, mis määratakse kindlaks iga kava puhul eraldi, arvestades mõistlikku olelusringi, kuid igal juhul mitte rohkem kui viieks aastaks, ja selle kehtivust võib pikendada samadel tingimustel senikaua, kuni asjakohased nõuded on täidetud.

Selgitus

See tagab paindlikkuse, et kohandada kehtivusaega ettenähtud kasutusega.

Muudatusettepanek    207

Ettepanek võtta vastu määrus

Artikkel 48 – lõige 7

Komisjoni ettepanek

Muudatusettepanek

7.  Käesoleva artikli kohaselt välja antud Euroopa küberturvalisuse sertifikaati tunnustatakse kõigis liikmesriikides.

7.  Käesoleva artikli kohaselt välja antud Euroopa küberturvalisuse sertifikaati tunnustatakse kõigis liikmesriikides selle sertifikaadiga hõlmatud IKT toodete ja protsesside ning tarbeelektroonikaseadmetega seotud kohalikele küberturvalisuse nõuetele vastavana, võttes arvesse artiklis 46 osutatud konkreetset usaldusväärsuse taset, ning keelatud on diskrimineerimine nende sertifikaatide päritoluliikmesriigi või selle välja andnud, artiklis 51 osutatud vastavushindamisasutuse alusel.

Selgitus

Et vältida killustatust Euroopa küberturvalisuse sertifitseerimise kavade tunnustamises ja/või vastavuses, tuleb selles artiklis rõhutada, et keelatud on diskrimineerimine sertifikaadi väljaandmise koha alusel.

Muudatusettepanek    208

Ettepanek võtta vastu määrus

Artikkel 48 a (uus)

Komisjoni ettepanek

Muudatusettepanek

 

Artikkel 48 a

 

Oluliste teenuste operaatorite sertifitseerimiskavad

 

1.   Kui Euroopa küberturvalisuse sertifitseerimise kavad on võetud vastu käesoleva artikli lõike 2 kohaselt, kasutavad oluliste teenuste operaatorid direktiivi (EL) 2016/1148 artiklis 14 sätestatud turvanõuete täitmiseks kõnealuste sertifitseerimiskavadega hõlmatud tooteid, protsesse ja teenuseid.

 

2.   Hiljemalt [üks aasta pärast käesoleva määruse jõustumist] võtab komisjon pärast direktiivi (EL) 2016/1148 artiklis 11 osutatud koostöörühmaga konsulteerimist kooskõlas artikliga 55 a vastu delegeeritud õigusaktid käesoleva määruse täiendamiseks, loetledes nende toodete, protsesside ja teenuste kategooriad, mis vastavad mõlemale järgmisele kriteeriumile:

 

(a)  need on ette nähtud kasutamiseks oluliste teenuste operaatoritele ja

 

(b)  nende mittenõuetekohane toimimine häiriks oluliselt olulise teenuse osutamist.

 

3.   Komisjon võtab kooskõlas artikliga 55 a vastu delegeeritud õigusaktid käesoleva määruse muutmiseks, ajakohastades vajaduse korral käesoleva artikli lõikes 3 osutatud toodete, protsesside ja teenuste kategooriate loetelu.

 

4.   Komisjon palub ametil koostada kooskõlas käesoleva määruse artikli 44 lõikega -1 Euroopa küberturvalisuse sertifitseerimise ettevalmistava kava käesoleva artikli lõigetes 2 ja 3 osutatud toodete, protsesside ja teenuste kategooriatele niipea, kui kõnealune loetelu on vastu võetud või seda on ajakohastatud. Selliste Euroopa küberturvalisuse sertifitseerimise kavade kohaselt välja antud sertifikaatidega tagatud usaldusväärsuse tase on kõrge.

Muudatusettepanek    209

Ettepanek võtta vastu määrus

Artikkel 48 b (uus)

Komisjoni ettepanek

Muudatusettepanek

 

Artikkel 48 b

 

Euroopa küberturvalisuse sertifitseerimise kavade suhtes ametlike vastuväidete esitamine

 

1.  Kui liikmesriik on seisukohal, et Euroopa küberturvalisuse sertifitseerimise kava ei vasta täielikult nõuetele, millele ta peab eesmärgi kohaselt vastama ja mis on sätestatud liidu asjaomastes ühtlustamisõigusaktides, teatab ta sellest komisjonile ja esitab üksikasjaliku selgituse. Komisjon otsustab vajaduse korral pärast liidu asjaomase ühtlustamisõigusakti kohaselt loodud komiteega või valdkonna ekspertidega muus vormis konsulteerimist, kas

 

(a)  avaldada Euroopa Liidu Teatajas viited asjaomasele Euroopa küberturvalisuse sertifitseerimise kavale, jätta need avaldamata või avaldada piiranguga;

 

(b)  säilitada Euroopa Liidu Teatajas viited asjaomasele Euroopa küberturvalisuse sertifitseerimise kavale, säilitada need piiranguga või kõrvaldada.

 

2.  Komisjon avaldab oma veebisaidil teabe Euroopa küberturvalisuse sertifitseerimise kavade kohta, mille kohta on tehtud käesoleva artikli lõikes 1 osutatud otsus.

 

3.  Komisjon teavitab ametit käesoleva artikli lõikes 1 nimetatud otsusest ja taotleb vajaduse korral asjaomase Euroopa küberturvalisuse sertifitseerimise kava läbivaatamist.

 

4.  Käesoleva artikli lõike 1 punktis a osutatud otsus võetakse vastu kooskõlas käesoleva määruse artikli 55 lõikes 2 osutatud nõuandemenetlusega.

 

5.  Käesoleva artikli lõike 1 punktis b osutatud otsus võetakse vastu kooskõlas käesoleva määruse artikli 55 lõikes 2 a (uus) osutatud kontrollimenetlusega.

Muudatusettepanek    210

Ettepanek võtta vastu määrus

Artikkel 49 – lõige 1

Komisjoni ettepanek

Muudatusettepanek

1.  Ilma et see piiraks lõike 3 kohaldamist, lõpeb riiklike küberturvalisuse sertifitseerimise kavade ja Euroopa küberturvalisuse sertifitseerimise kavaga hõlmatud IKT toodete ja teenustega seotud menetluste õiguslik toime artikli 44 lõike 4 kohaselt vastu võetud rakendusaktis sätestatud kuupäeval. Olemasolevad riiklikud küberturvalisuse sertifitseerimise kavad ja Euroopa küberturvalisuse sertifitseerimise kavaga hõlmamata IKT toodete ja teenustega seotud menetlused jäävad alles.

1.  Ilma et see piiraks lõike 3 kohaldamist, lõpeb riiklike küberturvalisuse sertifitseerimise kavade ja Euroopa küberturvalisuse sertifitseerimise kavaga hõlmatud IKT toodete, protsesside ja teenustega seotud menetluste õiguslik toime artikli 44 lõike 4 kohaselt vastu võetud rakendusaktis sätestatud kuupäeval. Olemasolevad riiklikud küberturvalisuse sertifitseerimise kavad ja Euroopa küberturvalisuse sertifitseerimise kavaga hõlmamata IKT toodete, protsesside ja teenustega seotud menetlused jäävad alles.

Muudatusettepanek    211

Ettepanek võtta vastu määrus

Artikkel 49 – lõige 2

Komisjoni ettepanek

Muudatusettepanek

2.  Liikmesriigid ei kehtesta uusi riiklikke küberturvalisuse sertifitseerimise kavasid IKT toodetele ja teenustele, mis on kaetud kehtiva Euroopa küberturvalisuse sertifitseerimise kavaga.

2.  Liikmesriigid ei kehtesta uusi riiklikke küberturvalisuse sertifitseerimise kavasid IKT toodetele, protsessidele ja teenustele, mis on kaetud kehtiva Euroopa küberturvalisuse sertifitseerimise kavaga.

Muudatusettepanek    212

Ettepanek võtta vastu määrus

Artikkel 49 – lõige 3 a (uus)

Komisjoni ettepanek

Muudatusettepanek

 

3 a.  Liikmesriigid teavitavad komisjoni kõigist riiklike küberturvalisuse sertifitseerimise kavade koostamise taotlustest ja esitavad nende kehtestamise põhjused.

Muudatusettepanek    213

Ettepanek võtta vastu määrus

Artikkel 49 – lõige 3 b (uus)

Komisjoni ettepanek

Muudatusettepanek

 

3 b.  Liikmesriigid saadavad teistele liikmesriikidele, ametile ja komisjonile taotluse korral ja vähemalt elektroonilises vormis riiklike küberturvalisuse sertifitseerimise kavade projektid.

Muudatusettepanek    214

Ettepanek võtta vastu määrus

Artikkel 49 – lõige 3 c (uus)

Komisjoni ettepanek

Muudatusettepanek

 

3 c.  Ilma et see piiraks direktiivi (EL) 2015/1535 kohaldamist, peavad liikmesriigid vastama teiselt liikmesriigilt, ametilt või komisjonilt käesoleva artikli lõikes 3 b osutatud projektide kohta saadud märkustele kolme kuu jooksul ja võtma neid nõuetekohaselt arvesse.

Muudatusettepanek    215

Ettepanek võtta vastu määrus

Artikkel 49 – lõige 3 d (uus)

Komisjoni ettepanek

Muudatusettepanek

 

3 d.  Kui käesoleva artikli lõike 3 c kohaselt saadud märkustes osutatakse, et riikliku küberturvalisuse sertifitseerimise kava projektil on tõenäoliselt negatiivne mõju siseturu nõuetekohasele toimimisele, peab vastuvõttev liikmesriik enne kava projekti vastuvõtmist konsulteerima ameti ja komisjoniga ning võtma nende märkusi võimalikult suurel määral arvesse.

Muudatusettepanek    216

Ettepanek võtta vastu määrus

Artikkel 50 – lõige 5

Komisjoni ettepanek

Muudatusettepanek

5.  Määruse tõhusaks rakendamiseks on asjakohane, et need asutused osaleksid aktiivselt, tõhusalt, tulemuslikult ja turvaliselt artikli 53 kohaselt asutatud Euroopa küberturvalisuse sertifitseerimise rühma töös.

5.  Määruse tõhusaks rakendamiseks on asjakohane, et need asutused osaleksid aktiivselt, tõhusalt, tulemuslikult ja turvaliselt artikli 53 kohaselt asutatud liikmesriikide sertifitseerimisrühma töös.

Muudatusettepanek    217

Ettepanek võtta vastu määrus

Artikkel 50 – lõige 6 – punkt a

Komisjoni ettepanek

Muudatusettepanek

(a)  jälgivad käesoleva jaotise sätete kohaldamist riiklikul tasandil ja tagavad nende täitmise ning teevad järelevalvet nende riigi territooriumil asutatud vastavushindamisasutuse poolt välja antud sertifikaatide vastavuse üle käesolevas jaotises ja vastavas Euroopa küberturvalisuse sertifikaadi kavas sätestatud nõuetele;

(a)  jälgivad käesoleva jaotise sätete kohaldamist riiklikul tasandil ja tagavad nende täitmise ning kontrollivad kooskõlas eeskirjadega, mille Euroopa küberturvalisuse sertifitseerimise rühm on võtnud vastu vastavalt artikli 53 lõike 3 punktile d a,

 

i)   nende riigi territooriumil asutatud vastavushindamisasutuse poolt välja antud sertifikaatide vastavust käesolevas jaotises ja vastavas Euroopa küberturvalisuse sertifitseerimise kavas sätestatud nõuetele, ja

 

ii)   ettevõtja vastavuskinnituste vastavust, mis on esitatud kava alusel IKT protsessi, toote või teenuse kohta;

Muudatusettepanek    218

Ettepanek võtta vastu määrus

Artikkel 50 – lõige 6 – punkt b

Komisjoni ettepanek

Muudatusettepanek

(b)  jälgivad ja kontrollivad vastavushindamisasutuste tegevust käesoleva määruse kohaldamisel, sealhulgas seoses käesoleva määruse artiklis 52 sätestatud vastavushindamisasutustest teavitamise ja sellega seotud ülesannetega;

(b)  jälgivad ja kontrollivad ning hindavad vähemalt iga kahe aasta järel vastavushindamisasutuste tegevust käesoleva määruse kohaldamisel, sealhulgas seoses käesoleva määruse artiklis 52 sätestatud vastavushindamisasutustest teavitamise ja sellega seotud ülesannetega;

Muudatusettepanek    219

Ettepanek võtta vastu määrus

Artikkel 50 – lõige 6 – punkt b a (uus)

Komisjoni ettepanek

Muudatusettepanek

 

(b a)  teevad auditeid, tagamaks et liidus kohaldatakse võrdväärseid standardeid, ning esitavad tulemused ametile ja sertifitseerimisrühmale;

Selgitus

See aitab tagada, et kogu ELis on teenused ja kvaliteet ühesugusel tasemel, ning vältida soodsamate sertifitseerimistingimuste valimise võimalust.

Muudatusettepanek    220

Ettepanek võtta vastu määrus

Artikkel 50 – lõige 6 – punkt c

Komisjoni ettepanek

Muudatusettepanek

(c)  käsitlevad füüsiliste või juriidiliste isikute esitatud kaebusi seoses nende riigi territooriumil asutatud vastavushindamisasutuste väljastatud sertifikaatidega, uurivad asjakohasel määral kaebuse sisu ja teavitavad kaebuse esitajat mõistliku aja jooksul uurimise käigust ja tulemusest;

(c)  käsitlevad füüsiliste või juriidiliste isikute esitatud kaebusi seoses nende riigi territooriumil asutatud vastavushindamisasutuste väljastatud sertifikaatidega või ettevõtja tehtud vastavushindamistega, uurivad asjakohasel määral kaebuse sisu ja teavitavad kaebuse esitajat mõistliku aja jooksul uurimise käigust ja tulemusest;

Muudatusettepanek    221

Ettepanek võtta vastu määrus

Artikkel 50 – lõige 6 – punkt c a (uus)

Komisjoni ettepanek

Muudatusettepanek

 

(c a)  esitavad punktis a osutatud kontrollimise ja punktis b osutatud hindamise tulemused ametile ja Euroopa küberturvalisuse sertifitseerimise rühmale;

Muudatusettepanek    222

Ettepanek võtta vastu määrus

Artikkel 50 – lõige 6 – punkt d

Komisjoni ettepanek

Muudatusettepanek

(d)  teevad koostööd teiste riiklike sertifitseerimise järelevalveasutuste või muude avaliku sektori asutusega, sealhulgas jagades teavet IKT toodete ja teenuste võimaliku mittevastavuse kohta käesoleva määruse või konkreetsete Euroopa küberturvalisuse sertifitseerimise kavade nõuetele;

(d)  teevad koostööd teiste riiklike sertifitseerimise järelevalveasutuste või muude avaliku sektori asutusega, näiteks riiklike andmekaitse järelevalveasutustega, sealhulgas jagades teavet IKT toodete, protsesside ja teenuste võimaliku mittevastavuse kohta käesoleva määruse või konkreetsete Euroopa küberturvalisuse sertifitseerimise kavade nõuetele;

Muudatusettepanek    223

Ettepanek võtta vastu määrus

Artikkel 50 – lõige 6 – punkt d

Komisjoni ettepanek

Muudatusettepanek

(d)  teevad koostööd teiste riiklike sertifitseerimise järelevalveasutuste või muude avaliku sektori asutusega, sealhulgas jagades teavet IKT toodete ja teenuste võimaliku mittevastavuse kohta käesoleva määruse või konkreetsete Euroopa küberturvalisuse sertifitseerimise kavade nõuetele;

(d)  teevad koostööd teiste riiklike sertifitseerimise järelevalveasutuste või muude avaliku sektori asutusega, näiteks riiklike andmekaitse järelevalveasutustega, sealhulgas jagades teavet IKT toodete ja teenuste võimaliku mittevastavuse kohta käesoleva määruse või konkreetsete Euroopa IT-turvalisuse sertifitseerimise kavade nõuetele;

Selgitus

Tuginedes Euroopa Andmekaitseinspektori arvamusele.

Muudatusettepanek    224

Ettepanek võtta vastu määrus

Artikkel 50 – lõige 7 – punkt c a (uus)

Komisjoni ettepanek

Muudatusettepanek

 

(c a)  tunnistada kehtetuks selliste vastavushindamisasutuste akrediteerimine, mis ei vasta käesoleva määruse nõuetele;

Muudatusettepanek    225

Ettepanek võtta vastu määrus

Artikkel 50 – lõige 7 – punkt e

Komisjoni ettepanek

Muudatusettepanek

(e)  võtta siseriiklike õigusaktide kohaselt tagasi sertifikaadid, mis ei ole kooskõlas käesoleva määrusega või Euroopa küberturvalisuse sertifitseerimise kavaga;

(e)  võtta riigisiseste õigusaktide kohaselt tagasi sertifikaadid, mis ei ole kooskõlas käesoleva määrusega või Euroopa küberturvalisuse sertifitseerimise kavaga, ning teavitada sellest riiklikke akrediteerimisasutusi;

Muudatusettepanek    226

Ettepanek võtta vastu määrus

Artikkel 50 – lõige 8

Komisjoni ettepanek

Muudatusettepanek

8.  Riiklikud sertifitseerimise järelevalveasutused teevad omavahel ja komisjoniga koostööd ning vahetavad eelkõige teavet, kogemusi ja häid tavasid seoses küberturvalisuse sertifitseerimisega ning IKT toodete ja teenuste küberturvalisust puudutavate tehniliste küsimustega.

8.  Riiklikud sertifitseerimise järelevalveasutused teevad omavahel ja komisjoniga koostööd ning vahetavad eelkõige teavet, kogemusi ja häid tavasid seoses küberturvalisuse sertifitseerimisega ning IKT toodete, protsesside ja teenuste küberturvalisust puudutavate tehniliste küsimustega.

Muudatusettepanek    227

Ettepanek võtta vastu määrus

Artikkel 50 – lõige 8 a (uus)

Komisjoni ettepanek

Muudatusettepanek

 

8 a.  Kõik riiklikud sertifitseerimise järelevalveasutused ning riikliku sertifitseerimise järelevalveasutuse liikmed ja töötajad on kooskõlas liidu või liikmesriigi õigusega kohustatud nii oma ametiajal kui ka pärast ametist lahkumist hoidma ametisaladust konfidentsiaalse teabe suhtes, mis on neile teatavaks saanud nende tööülesannete või volituste täitmisel.

Muudatusettepanek    228

Ettepanek võtta vastu määrus

Artikkel 50 a (uus)

Komisjoni ettepanek

Muudatusettepanek

 

Artikkel 50 a

 

Vastastikune eksperdihinnang

 

1.  Riiklike sertifitseerimise järelevalveasutuste artikli 50 kohase tegevuse suhtes rakendatakse vastastikust hindamist, mille korraldab amet.

 

2.   Vastastikune hindamine toimub mõistlike ja läbipaistvate kriteeriumide ja menetluste alusel, mis käsitlevad eelkõige struktuuridele, inimressurssidele ja menetlustele esitatavaid nõudeid, konfidentsiaalsust ja kaebusi. Kaebuste esitamiseks kõnealuse hindamise tulemusel vastu võetud otsuste peale kehtestatakse asjakohased menetlused.

 

3.   Vastastikuse eksperdihinnangu raames hinnatakse riiklike sertifitseerimise järelevalveasutuste kehtestatud menetlusi, eeskätt neid, mille abil kontrollitakse sertifikaatide nõuetele vastavust, vastavushindamisasutuste tegevuse kontrollimise ja järelevalve menetlusi, töötajate pädevust, kontrollide ja inspekteerimismetoodika õigsust ning tulemuste õigsust. Vastastikuse eksperdihinnangu raames hinnatakse ka seda, kas asjaomastel riiklikel sertifitseerimise järelevalveasutustel on piisavad vahendid oma ülesannete nõuetekohaseks täitmiseks, nagu nõutakse artikli 50 lõikes 4.

 

4.   Riikliku sertifitseerimise järelevalveasutuse vastastikuse eksperdihinnangu annavad kaks muu liikmesriigi riiklikku sertifitseerimise järelevalveasutust ja komisjon ning seda tehakse vähemalt iga viie aasta järel. Amet võib vastastikuses eksperdihinnangus osaleda, kui ta riskianalüüsi põhjal nii otsustab.

 

5.   Komisjonil on õigus võtta kooskõlas artikliga 55 a vastu delegeeritud õigusaktid käesoleva määruse täiendamiseks, kehtestades vastastikuste eksperdihinnangute kava vähemalt viieks aastaks, sätestades selles vastastikuse eksperdihinnangu rühma koosseisu kriteeriumid, hindamismetoodika, hindamiste ajakava, sageduse ja muud vastastikuse eksperdihinnanguga seotud ülesanded. Nende delegeeritud õigusaktide vastuvõtmisel võtab komisjon nõuetekohaselt arvesse liikmesriikide sertifitseerimisrühma arvamusi.

 

6.   Vastastikuse eksperdihinnangu tulemusi kontrollib liikmesriikide sertifitseerimisrühm. Amet koostab tulemuste kokkuvõtte ning vajaduse korral suunised ja parimaid tavasid käsitleva dokumendi ja avalikustab need.

Muudatusettepanek    229

Ettepanek võtta vastu määrus

Artikkel 51 – lõige 1 a (uus)

Komisjoni ettepanek

Muudatusettepanek

 

1 a.  Kõrge usaldusväärsuse taseme puhul peab vastavushindamisasutus olema lisaks akrediteeringule ka riikliku sertifitseerimise järelevalveasutuse poolt teatatud asutus tema pädevuse ja teadmiste põhjal küberturvalisuse hindamise valdkonnas. Riiklik sertifitseerimise järelevalveasutus kontrollib regulaarselt teatatud vastavushindamisasutuste pädevusi ja teadmisi.

Selgitus

Kõrge usaldusväärsuse tase eeldab tõhususe kontrollimist. Tõhususe kontrolle korraldavate vastavushindamisasutuste teadmisi ja pädevusi tuleb regulaarselt kontrollida, et tagada eeskätt katsete kvaliteet.

Muudatusettepanek    230

Ettepanek võtta vastu määrus

Artikkel 51 – lõige 2 a (uus)

Komisjoni ettepanek

Muudatusettepanek

 

2 a.  Et tagada võrdväärsete standardite kohaldamine liidus, tehakse auditeid, mille tulemused teatatakse ametile ja sertifitseerimisrühmale.

Muudatusettepanek    231

Ettepanek võtta vastu määrus

Artikkel 51 – lõige 2 b (uus)

Komisjoni ettepanek

Muudatusettepanek

 

2 b.  Kui tootjad otsustavad esitada vastavuse kohta käesoleva määruse artikli 48 lõike 3 kohase ettevõtja vastavuskinnituse, võtavad vastavushindamisasutused lisameetmeid, et kontrollida, milliseid ettevõttesiseseid menetlusi tootjad kasutasid, et tagada nende toodete ja/või teenuste vastavus Euroopa küberturvalisuse sertifitseerimise kava nõuetele.

Muudatusettepanek    232

Ettepanek võtta vastu määrus

Artikkel 52 – lõige 5

Komisjoni ettepanek

Muudatusettepanek

5.  Komisjon võib määrata rakendusaktidega kindlaks käesoleva artikli lõikes 1 osutatud teavitamise asjaolud, vormingud ja menetlused. Kõnealused rakendusaktid võetakse vastu vastavalt artikli 55 lõikes 2 osutatud kontrollimenetlusele.

5.  Komisjon võib määrata delegeeritud õigusaktidega kindlaks käesoleva artikli lõikes 1 osutatud teavitamise asjaolud, vormingud ja menetlused. Kõnealused delegeeritud õigusaktid võetakse vastu vastavalt artikli 55 lõikes 2 osutatud kontrollimenetlusele.

Muudatusettepanek    233

Ettepanek võtta vastu määrus

Artikkel 53 – pealkiri

Komisjoni ettepanek

Muudatusettepanek

Euroopa küberturvalisuse sertifitseerimise rühm

Liikmesriikide sertifitseerimisrühm

 

(Muudatusettepanekut kohaldatakse kogu teksti ulatuses. Selle vastuvõtmise korral tehakse vastavad muudatused kogu tekstis.)

Muudatusettepanek    234

Ettepanek võtta vastu määrus

Artikkel 53 – lõige 1

Komisjoni ettepanek

Muudatusettepanek

1.  Luuakse Euroopa küberturvalisuse sertifitseerimise rühm (edaspidi „rühm“).

1.  Luuakse liikmesriikide sertifitseerimisrühm.

Muudatusettepanek    235

Ettepanek võtta vastu määrus

Artikkel 53 – lõige 2

Komisjoni ettepanek

Muudatusettepanek

2.  Rühm koosneb riiklikest sertifitseerimise järelevalveasutustest. Riiklikke sertifitseerimise järelevalveasutusi esindavad nende juhid või muud kõrgetasemelised esindajad.

2.  Liikmesriikide sertifitseerimisrühm koosneb kõigi liikmesriikide riiklikest sertifitseerimise järelevalveasutustest. Riiklikke sertifitseerimise järelevalveasutusi esindavad nende juhid või muud kõrgetasemelised esindajad. Sidusrühmade sertifitseerimisrühma liikmeid võidakse kutsuda osalema sertifitseerimisrühma koosolekutel ning rühma töös.

Muudatusettepanek    236

Ettepanek võtta vastu määrus

Artikkel 53 – lõige 3 – sissejuhatav osa

Komisjoni ettepanek

Muudatusettepanek

3.  Rühmal on järgmised ülesanded:

3.  Liikmesriikide sertifitseerimisrühmal on järgmised ülesanded:

Muudatusettepanek    237

Ettepanek võtta vastu määrus

Artikkel 53 – lõige 3 – punkt b

Komisjoni ettepanek

Muudatusettepanek

(b)  abistada ja nõustada ENISAt ja teha temaga koostööd seoses ettevalmistava kava koostamisega kooskõlas käesoleva määruse artikliga 44;

(b)  abistada ja nõustada ametit ja teha temaga koostööd seoses ettevalmistava kava koostamisega kooskõlas käesoleva määruse artikliga 44;

Muudatusettepanek    238

Ettepanek võtta vastu määrus

Artikkel 53 – lõige 3 – punkt d a (uus)

Komisjoni ettepanek

Muudatusettepanek

 

(d a)  võtta vastu soovitused, millega määratakse kindlaks, kui sageli peavad riiklikud sertifitseerimise järelevalveasutused sertifikaate ja ettevõtjate tehtud vastavushindamisi kontrollima, ja selliste kontrollide kriteeriumid, ulatus ja kohaldamisala, ning võtta artikli 50 lõike 6 kohaselt vastu ühised aruandluseeskirjad ja -normid;

Muudatusettepanek    239

Ettepanek võtta vastu määrus

Artikkel 53 – lõige 3 – punkt e

Komisjoni ettepanek

Muudatusettepanek

(e)  analüüsida küberturvalisuse sertifitseerimise valdkonna asjakohaseid arenguid ja vahetada häid tavasid seoses küberturvalisuse sertifitseerimise kavadega;

(e)  analüüsida küberturvalisuse sertifitseerimise valdkonna asjakohaseid arenguid ning vahetada teavet ja häid tavasid seoses küberturvalisuse sertifitseerimise kavadega;

Muudatusettepanek    240

Ettepanek võtta vastu määrus

Artikkel 53 – lõige 3 – punkt f a (uus)

Komisjoni ettepanek

Muudatusettepanek

 

(f a)  hõlbustada Euroopa küberturvalisuse sertifitseerimise kavade kohandamist rahvusvaheliselt tunnustatud standarditele, sealhulgas olemasolevate kavade läbivaatamise abil, ja vajaduse korral esitada ametile soovitusi teha koostööd asjaomaste rahvusvaheliste standardiorganisatsioonidega, et kõrvaldada olemasolevate rahvusvaheliselt tunnustatud standardite puudused või lüngad;

Muudatusettepanek    241

Ettepanek võtta vastu määrus

Artikkel 53 – lõige 3 – punkt f b (uus)

Komisjoni ettepanek

Muudatusettepanek

 

(f b)  luua vastastikuste eksperdihinnangute andmise menetlus. Menetluse puhul võetakse eelkõige arvesse riiklike sertifitseerimise järelevalveasutuste nõutavat tehnilist pädevust nende artiklites 48 ja 50 osutatud ülesannete täitmiseks ning see hõlmab vajaduse korral suuniste ja parimaid tavasid käsitlevate dokumentide koostamist, et parandada riiklike sertifitseerimise järelevalveasutuste vastavust käesolevale määrusele;

Muudatusettepanek    242

Ettepanek võtta vastu määrus

Artikkel 53 – lõige 3 – punkt f c (uus)

Komisjoni ettepanek

Muudatusettepanek

 

(f c)  teha järelevalvet sertifikaatide kontrollimise ja säilitamise üle;

Muudatusettepanek    243

Ettepanek võtta vastu määrus

Artikkel 53 – lõige 3 – punkt f d (uus)

Komisjoni ettepanek

Muudatusettepanek

 

(f d)  võtta arvesse ettevalmistava kava koostamisel kooskõlas artikliga 44 läbiviidud sidusrühmadega konsulteerimise tulemusi.

Muudatusettepanek    244

Ettepanek võtta vastu määrus

Artikkel 53 – lõige 4

Komisjoni ettepanek

Muudatusettepanek

4.  Komisjon juhatab rühma ja osutab sellele sekretariaaditeenust, komisjoni abistab ENISA kooskõlas artikli 8 punktiga a.

4.  Komisjon juhatab liikmesriikide sertifitseerimisrühma ja osutab sellele sekretariaaditeenust, komisjoni abistab amet kooskõlas artikli 8 punktiga a.

Muudatusettepanek    245

Ettepanek võtta vastu määrus

Artikkel 53 a (uus)

Komisjoni ettepanek

Muudatusettepanek

 

Artikkel 53 a

 

Õigus kasutada tõhusat õiguskaitsevahendit järelevalveasutuse või vastavushindamisasutuse vastu

 

1.  Ilma et see piiraks ühegi muu haldusliku või kohtuvälise kaitsevahendi kohaldamist, on igal füüsilisel või juriidilisel isikul õigus kasutada tõhusat õiguskaitsevahendit

 

(a)  vastavushindamisasutuse või riikliku sertifitseerimise järelevalveasutuse otsuse vastu, mis teda puudutab, sealhulgas vajaduse korral seoses Euroopa küberturvalisuse sertifikaadi väljastamise või väljastamata jätmise või talle kuuluva sertifikaadi tunnustamisega, ja

 

(b)  juhul, kui riiklik sertifitseerimise järelevalveasutus ei vaata läbi asutuse pädevusse kuuluvat kaebust.

 

2.  Vastavushindamisasutuse või riikliku sertifitseerimise järelevalveasutuse vastu algatatakse menetlus selle liikmesriigi kohtus, kus vastavushindamisasutus või riiklik sertifitseerimise järelevalveasutus asub.

Muudatusettepanek    246

Ettepanek võtta vastu määrus

Artikkel 55 – lõige 2 a (uus)

Komisjoni ettepanek

Muudatusettepanek

 

2 a.  Käesolevale lõikele viitamisel kohaldatakse määruse (EL) nr 182/2011 artiklit 5.

Muudatusettepanek    247

Ettepanek võtta vastu määrus

Artikkel 55 a (uus)

Komisjoni ettepanek

Muudatusettepanek

 

Artikkel 55 a

 

Delegeeritud volituste rakendamine

 

1.   Komisjonile antakse õigus võtta vastu delegeeritud õigusakte käesolevas artiklis sätestatud tingimustel.

 

2.   Artiklites 44 ja 48 a osutatud õigus võtta vastu delegeeritud õigusakte antakse komisjonile määramata ajaks alates ... [alusakti jõustumise kuupäev].

 

3.   Euroopa Parlament ja nõukogu võivad artiklites 44 ja 48 a osutatud volituste delegeerimise igal ajal tagasi võtta. Tagasivõtmise otsusega lõpetatakse otsuses nimetatud volituste delegeerimine. Otsus jõustub järgmisel päeval pärast selle avaldamist Euroopa Liidu Teatajas või otsuses nimetatud hilisemal kuupäeval. See ei mõjuta juba jõustunud delegeeritud õigusaktide kehtivust.

 

4.   Enne delegeeritud õigusakti vastuvõtmist konsulteerib komisjon kooskõlas 13. aprilli 2016. aasta institutsioonidevahelises parema õigusloome kokkuleppes sätestatud põhimõtetega iga liikmesriigi määratud ekspertidega.

 

5.   Niipea kui komisjon on delegeeritud õigusakti vastu võtnud, teeb ta selle samal ajal teatavaks Euroopa Parlamendile ja nõukogule.

 

6.   Artiklite 44 ja 48 a alusel vastu võetud delegeeritud õigusakt jõustub üksnes juhul, kui Euroopa Parlament ega nõukogu ei ole kahe kuu jooksul pärast õigusakti teatavakstegemist Euroopa Parlamendile ja nõukogule esitanud selle suhtes vastuväidet või kui Euroopa Parlament ja nõukogu on enne selle tähtaja möödumist komisjonile teatanud, et nad ei esita vastuväidet. Euroopa Parlamendi või nõukogu algatusel pikendatakse seda tähtaega kahe kuu võrra.

Muudatusettepanek    248

Ettepanek võtta vastu määrus

Artikkel 56 – lõige 1

Komisjoni ettepanek

Muudatusettepanek

1.  Hiljemalt viis aastat pärast artiklis 58 osutatud kuupäeva ja seejärel iga viie aasta tagant hindab komisjon ameti ja selle töökorralduse mõju, tulemuslikkust ja tõhusust ning võimalikku vajadust muuta ameti mandaati ja kõigi selliste muudatuste finantsmõju. Hindamisel arvestatakse tagasisidet, mida amet on oma töö kohta saanud. Kui komisjon leiab, et ameti töö jätkamine ei ole ametile seatud eesmärkide, mandaadi ja ülesannete seisukohast enam põhjendatud, võib ta teha ettepaneku käesolevat määrust ametiga seotud sätete osas muuta.

1.  Hiljemalt kaks aastat pärast artiklis 58 osutatud kuupäeva ja seejärel iga kahe aasta tagant hindab komisjon ameti ja selle töökorralduse mõju, tulemuslikkust ja tõhusust ning võimalikku vajadust muuta ameti mandaati ja kõigi selliste muudatuste finantsmõju. Hindamisel arvestatakse tagasisidet, mida amet on oma töö kohta saanud. Kui komisjon leiab, et ameti töö jätkamine ei ole ametile seatud eesmärkide, mandaadi ja ülesannete seisukohast enam põhjendatud, võib ta teha ettepaneku käesolevat määrust ametiga seotud sätete osas muuta.

Muudatusettepanek    249

Ettepanek võtta vastu määrus

Artikkel 56 – lõige 2

Komisjoni ettepanek

Muudatusettepanek

2.  Selle hindamise käigus vaadeldakse ka III jaotise sätete mõju, tulemuslikkust ja tõhusust seoses eesmärgiga tagada IKT toodete ja teenuste piisav küberturvalisus ELis ja parandada siseturu toimimist.

2.  Selle hindamise käigus vaadeldakse ka III jaotise sätete mõju, tulemuslikkust ja tõhusust seoses eesmärgiga tagada IKT toodete, protsesside ja teenuste piisav küberturvalisus ELis ja parandada siseturu toimimist.

Muudatusettepanek    250

Ettepanek võtta vastu määrus

Artikkel 56 – lõige 2 a (uus)

Komisjoni ettepanek

Muudatusettepanek

 

2 a.  Hindamise käigus vaadeldakse, kas küberturvalisusega seotud olulised siseturule pääsu käsitlevad nõuded on vajalikud selleks, et vältida selliste toodete, teenuste ja protsesside liidu turule jõudmist, mis ei vasta põhilistele küberturvalisuse nõuetele.

Muudatusettepanek    251

Ettepanek võtta vastu määrus

-I lisa (uus)

Komisjoni ettepanek

Muudatusettepanek

 

-I LISA

 

ELi küberturvalisuse sertifitseerimise raamistiku kasutuselevõtmisel on tõenäoline, et tähelepanu koondub sellele, kuidas vahetut huvi pakkuvad valdkonnad tulevad toime kujunemisjärgus tehnoloogiaga seotud probleemidega. Eritähelepanu pakub asjade interneti valdkond, kuna see hõlmab nii tarbijate kui ka tööstuse nõudeid. Tehakse ettepanek lisada sertifitseerimise raamistikku järgmine prioriteetide loetelu:

 

1) pilveteenuse osutamise sertifitseerimine;

 

2) asjade interneti seadmete sertifitseerimine, sealhulgas:

 

a) isiku tasandi seadmed, nagu kantavad nutiseadmed;

 

b) kogukonna tasandi seadmed, nagu arukad autod, arukad kodud ja terviseseadmed;

 

c) ühiskonna tasandi seadmed, nagu arukad linnad ja arukad võrgud;

 

3) tööstus 4.0, mis hõlmab arukaid, omavahel ühendatud küberfüüsikalisi süsteeme, mis automatiseerivad kõik tööstusliku tegevuse etapid alates projekteerimisest ja tootmisest kuni käitamise, tarneahela ja tehnilise hoolduseni;

 

4) igapäevases elus kasutatavate tehnoloogiate ja teenuste sertifitseerimine. Selle näiteks võivad olla võrguseadmed, nagu kodus kasutatavad internetiruuterid.

Muudatusettepanek    252

Ettepanek võtta vastu määrus

I lisa – lõik 1 – punkt 5 a (uus)

Komisjoni ettepanek

Muudatusettepanek

 

5 a.  Kui vastavushindamisasutus kuulub avalik-õiguslikule üksusele või asutusele või on selle hallatav asutus, tuleb tagada selle sõltumatus ning sertifitseerimise järelevalveasutuse ja vastavushindamisasutuse vahelise huvide konflikti puudumine ning see dokumenteerida.

Muudatusettepanek    253

Ettepanek võtta vastu määrus

I lisa – lõik 1 – punkt 8

Komisjoni ettepanek

Muudatusettepanek

8.  Vastavushindamisasutus peab olema võimeline täitma kõiki vastavushindamisülesandeid, mis talle käesoleva määrusega on määratud, seda nii juhul, kui vastavushindamisasutus täidab ülesandeid ise, kui ka juhul, kui neid täidetakse tema nimel ja vastutusel.

8.  Vastavushindamisasutus peab olema võimeline täitma kõiki vastavushindamisülesandeid, mis talle käesoleva määrusega on määratud, seda nii juhul, kui vastavushindamisasutus täidab ülesandeid ise, kui ka juhul, kui neid täidetakse tema nimel ja vastutusel. Mis tahes alltöövõtt või konsulteerimine asutuseväliste töötajatega peab olema nõuetekohaselt dokumenteeritud ja ellu viidud ilma vahendajateta ning selle kohta tuleb sõlmida kirjalik leping, milles käsitletakse muu hulgas konfidentsiaalsuse ja huvide konflikti küsimusi. Asjaomane vastavushindamisasutus vastutab täidetud ülesannete eest täiel määral.

Muudatusettepanek    254

Ettepanek võtta vastu määrus

I lisa – lõik 1 – punkt 12

Komisjoni ettepanek

Muudatusettepanek

12.  Tuleb tagada vastavushindamisasutuste, nende kõrgema juhtkonna ja hindamistöötajate erapooletus.

12.  Tuleb tagada vastavushindamisasutuste, nende kõrgema juhtkonna, hindamistöötajate ja alltöövõtjate erapooletus.

Muudatusettepanek    255

Ettepanek võtta vastu määrus

I lisa – lõik 1 – punkt 15

Komisjoni ettepanek

Muudatusettepanek

15.  Vastavushindamisasutuse töötajad peavad hoidma ametisaladust teabe osas, mis on saadud käesoleva määruse või selle jõustamiseks vastuvõetud siseriiklike õigusaktide kohaselt täidetud ülesannete käigus, välja arvatud teabevahetus selle liikmesriigi pädevate asutustega, kus asutus tegutseb.

15.  Vastavushindamisasutus ja selle töötajad, komiteed, allüksused, alltöövõtjad ning sellega seotud mis tahes asutused ja välisorganite töötajad peavad tagama konfidentsiaalsuse ja hoidma ametisaladust teabe osas, mis on saadud käesoleva määruse või selle jõustamiseks vastuvõetud riigisiseste õigusaktide kohaselt täidetud ülesannete käigus, välja arvatud juhul, kui teabe avalikustamist nõuab nendele isikutele kohaldatav liidu või liikmesriigi õigus, välja arvatud teabevahetus selle liikmesriigi pädevate asutustega, kus asutus tegutseb. Tagada tuleb omandiõiguste kaitse. Vastavushindamisasutusel peavad olema käesoleva punkti 15 nõuete täitmiseks kehtestatud dokumenteeritud menetlused.

Muudatusettepanek    256

Ettepanek võtta vastu määrus

I lisa – lõik 1 – punkt 15 a (uus)

Komisjoni ettepanek

Muudatusettepanek

 

15 a.  Käesoleva lisa nõuded, välja arvatud punkti 15 nõuded, ei takista mingil viisil tehnilise teabe ja regulatiivsete suuniste vahetamist vastavushindamisasutuse ja sertifikaati taotleva või selle taotlemist kaaluva isiku vahel.

Muudatusettepanek    257

Ettepanek võtta vastu määrus

I lisa – lõik 1 – punkt 15 b (uus)

Komisjoni ettepanek

Muudatusettepanek

 

15 b.  Vastavushindamisasutus tegutseb vastavalt sidusatele, õiglastele ja mõistlikele tingimustele, võttes seoses tasudega arvesse soovituses 2003/361/EÜ määratletud väikeste ja keskmise suurusega ettevõtjate huve.

(1)

ELT C 227, 28.6.2018, lk 86.


SELETUSKIRI

Tõsiasi on see, et ülemaailmne digitaalrevolutsioon levib kiiresti ja avaldab suurt mõju meie majandusele, ühiskonnale ja valitsustele, muutes kõik meie andmed haavatavaks. Tarbijad, tööstusettevõtjad, institutsioonid ja demokraatlik kord on sattunud kohalikul, riiklikul, Euroopa ja üleilmsel tasandil küberrünnete, küberspionaaži ja kübersabotaaži ohvriks ning on üldteada, et see sageneb lähiaastatel märkimisväärselt.

Miljardid seadmed on internetiga ühendatud ning mõjutavad üksteist uut moodi ja suuremas ulatuses. Need seadmed ja teenused võivad parandada inimeste elu ja majandust. Inimesed ja organisatsioonid aga osalevad või hakkavad osalema digitaalmaailmas täiel määral ainult siis, kui nad usaldavad digitaaltehnoloogiaid. Usaldus eeldab, et asjade interneti seadmed, protsessid ja teenused on ohutud ja turvalised.

Nende eesmärkide täitmiseks tegi komisjon ettepaneku võtta vastu küberturvalisust käsitlev õigusakt. Kõnealune määrus on Euroopa Liidu uue küberjulgeoleku strateegia tähtis osa ja vahend. Strateegia eesmärk on anda Euroopale pikaajaline küberturvalisuse käsitlus ja tagada usaldus digitaaltehnoloogiate vastu. Seda tuleb vaadelda juba kehtivate õigusaktide kontekstis: EL on juba loonud Euroopa Liidu Võrgu- ja Infoturbeameti (ENISA) ning võtnud vastu direktiivi meetmete kohta, millega tagada võrgu- ja infosüsteemide turvalisuse ühtlaselt kõrge tase kogu liidus (küberturvalisuse direktiiv), mida liikmesriigid praegu riigisisesesse õigusse üle võtavad.

Küberturvalisust käsitlev õigusakt koosneb kahest osast: esimeses osas täpsustatakse ENISA rolli ja mandaati, et ametit tugevamaks muuta. Teises osas kehtestatakse vabatahtliku raamistiku vormis Euroopa küberturvalisuse sertifitseerimise kava, et parandada ühendatud seadmete ning digitaalsete toodete ja teenuste turvalisust.

Üldiselt peab raportöör komisjoni ettepanekut võtta vastu Euroopa küberturvalisust käsitlev õigusakt kiiduväärseks, sest see on ülioluline selleks, et vähendada infoturbe ja võrgusüsteemide riske ja ohte ning et tarbijatel oleks võimalik IT-lahendusi usaldada ja nende suhtes kindel olla, eriti seoses asjade internetiga. Raportöör on kindlalt veendunud, et Euroopa võib saada küberturvalisuse valdkonnas juhtivaks jõuks. Euroopal on tugev tööstuslik baas ja seega on tarbekaupade, tööstusrakenduste ja elutähtsa taristuga seotud küberturvalisuse parandamise kallal töötamine nii tarbijate kui ka tööstusvaldkonna huvides.

Komisjoni ettepanekut tuleks muuta nii ENISAt kui ka sertifitseerimist käsitlevas osas.

Seoses ENISAga on raportöör veendunud, et õige raamistiku kehtestamine on hädavajalik, kui soovime tugevat ja hästi toimivat ametit. Raportöör avaldab heameelt ENISA rolli tugevdamise üle alalise mandaadi andmise ning eelarve ja personali suurendamise abil, kuid vaja on ka realistlikku käsitlusviisi, arvestades ENISAs töötavate ekspertide endiselt väikest arvu võrreldes mõne riikliku sertifitseerimise järelevalveasutuse töötajate arvuga. ENISA ülesanne peaks olema jätkuvalt operatiivkoostöö korraldamine, võttes arvesse küberturvalisuse direktiiviga saadud teadmisi, et jätkata liikmesriikides suutlikkuse suurendamise toetamist ja olla ka edaspidi teabeallikas. Lisaks peab ENISA täitma keskset osa Euroopa küberturvalisuse sertifitseerimise kavade kehtestamisel koos liikmesriikide ja asjaomaste sidusrühmadega.

Seoses sertifitseerimisega pooldab raportöör ettepaneku kohaldamisala täpsustamist. Esiteks peaks kõnealune määrus hõlmama nii tooteid ja teenuseid kui ka kogu olelusringi. Seega tuleb kohaldamisalasse lisada ka protsessid. Teisest küljest tuleks selgelt välja jätta liikmesriikide pädevusvaldkonnad, nimelt juhul, kui tegemist on avaliku julgeoleku, kaitse, riikliku julgeoleku ja kriminaalõiguse valdkonnaga.

Seoses Euroopa küberturvalisuse sertifitseerimise kavaga teeb raportöör ettepaneku täpsustada üksikasjalikumalt riskipõhist käsitlusviisi, mitte edendada sertifitseerimiskava, mis sobib ühtviisi kõigile. Lisaks pooldab raportöör vabatahtlikku süsteemi, kuid ainult usaldusväärsuse baas- ja märkimisväärse taseme puhul. Toodete, protsesside ja teenuste puhul, mis kuuluvad usaldusväärsuse kõrgeima taseme alla, on raportööri seisukoha järgi eelistatav kohustuslik kava. Seoses selliste digitaaltehnoloogiate hindamisega, millel on usaldusväärsuse baastase, soovitab raportöör lisaks luua seose uue õigusraamistiku lähenemisviisiga. See võimaldab rakendada enesehindamist, mis on odavam ja vähem koormav süsteem ning on erinevates konkreetsetes valdkondades oma toimimist tõestanud.

Raportöör on veendunud, et IKT toodete tootjal või pakkujal, protsesside pakkujal ja teenuste osutajal peaks olema kohustus väljastada tootedeklaratsioon, mis sisaldab struktureeritud teavet sertifitseerimise kohta, märkides näiteks teabe sertifitseeritud toote, protsessi või teenuse uuenduste kättesaadavuse või selle koostalitlusvõime kohta. See annaks tarbijale seadme valimisel kasulikku teavet. Raportöör eelistab niisugust tootedeklaratsiooni märgisele või märgile, mis võivad tarbijaid eksitada.

Raportöör on kindlalt veendunud, et komisjoni kavandatavat juhtimisstruktuuri tuleb parandada, et see oleks kõigi asjaomaste sidusrühmade jaoks läbipaistvam. Seetõttu soovitab raportöör võtta vastu liidu mitmeaastase tööprogrammi, milles määratakse kindlaks liidu tasandil võetavad ühismeetmed ja esitatakse valdkonnad, kus Euroopa sertifitseerimiskavad tuleks ennekõike kehtestada, ning liikmesriikide hindamis- ja järelevalveasutuste oskusteabe ja teadmiste võrdväärne tase. Tugevam juhtimine hõlmab ka liikmesriikide ja tööstusvaldkonna suuremat osalemist sertifitseerimisprotsessis: liikmesriikide rolli saab tugevdada, kui ettepaneku artikli 53 kohaselt loodud ja riiklikest sertifitseerimise järelevalveasutustest koosnev rühm osaleb sertifitseerimiskava koostamise protsessis komisjoniga võrdsetel alustel. Rühm peab ka Euroopa ettevalmistava kava heaks kiitma. Kolmandaks tuleks tugevdada tööstusvaldkonna osalemist sertifitseerimisprotsessis. Seda on võimalik saavutada alalise sidusrühma koosseisu täpsustamisega ja ajutiste nõuanderühmade loomisega ENISA poolt, et saada tööstuselt ja teistelt asjaomastelt sidusrühmadelt sertifitseerimisprotsesside käigus rohkem teadmisi ja oskusteavet. Raportöör on veendunud, et kõik need meetmed aitavad VKEdel protsessis rohkem kaasa rääkida.

Lisaks vajab Euroopa sertifitseerimissüsteem Euroopa standardiorganisatsioonide, nagu Euroopa Standardikomitee (CEN) ja Euroopa Elektrotehnika Standardikomitee (CENELEC) suuremat osalemist. See võimaldaks tagada kehtivate ja kogu maailmas tunnustatud rahvusvaheliste standardite ülimuslikkuse.


SISETURU- JA TARBIJAKAITSEKOMISJONI ARVAMUS (22.5.2018)

tööstuse, teadusuuringute ja energeetikakomisjonile

ettepaneku kohta võtta vastu Euroopa Parlamendi ja nõukogu määrus, mis käsitleb ENISAt ehk ELi küberturvalisuse ametit, millega tunnistatakse kehtetuks määrus (EL) nr 526/2013 ja mis käsitleb info- ja kommunikatsioonitehnoloogia küberturvalisuse sertifitseerimist („küberturvalisust käsitlev õigusakt“)

(COM(2017)0477 – C8-0310-2017 – 2017/0225(COD))

Arvamuse koostaja: (*) Nicola Danti

(*)  Kaasatud komisjon – kodukorra artikkel 54

LÜHISELGITUS

Digitaalajastul on küberturvalisus Euroopa Liidu majandusliku konkurentsivõime ja turvalisuse ning meie vabade ja demokraatlike ühiskondade terviklikkuse ja neid toetavate protsesside oluline osa. Kübervastupidavusvõime kõrge taseme kindlustamine kogu ELis on ülimalt tähtis tarbijate usalduse saavutamiseks digitaalse ühtse turu vastu ning uuenduslikuma ja konkurentsivõimelisema Euroopa edasi arendamiseks.

Ilma igasuguse kahtluseta on küberohud ja üleilmsed küberründed, näiteks „Wannacry“ ja „Meltdown“, meie üha digiteeritumas ühiskonnas suureneva tähtsusega probleemid. 2017. aasta juulis avaldatud Eurobaromeetri uuringu kohaselt peab 87 % vastanutest küberkuritegevust oluliseks probleemiks ELi sisejulgeolekule ja enamikule neist valmistab muret küberkuritegevuse erinevate vormide ohvriks sattumine. Ühtlasi on 2016. aasta algusest saati toimunud kogu maailmas iga päev rohkem kui 4 000 lunavararünnet, kujutades 300 % kasvu alates 2015. aastast ja mõjutades 80 % ELi ettevõtetest. Need faktid ja andmed viitavad selgelt ELi vajadusele olla rohkem vastupanuvõimelisem ja tulemuslikum küberrünnete vastases võitluses ning vajadusele suurendada oma suutlikkust ELi kodanike, ettevõtete ja avalik-õiguslike asutuste paremaks kaitsmiseks.

Aasta pärast võrgu- ja infoturbe direktiivi jõustumist esitles Euroopa Komisjon ELi küberjulgeoleku strateegia laiemas raamistikus määrust, mille eesmärk on tõsta veelgi ELi kübervastupidavusvõimet, heidutust ja kaitset. 13. septembril 2017 esitles komisjon küberturvalisust käsitlevat õigusakti, mis põhineb kahel sambal:

1) alaline ja tugevam mandaat Euroopa Liidu Võrgu- ja Infoturbeametile (ENISA), et aidata liikmesriike tõhusalt küberrünnete ennetamisel ja neile reageerimisel, ning 2) Euroopa küberturvalisuse sertifitseerimise raamistiku loomine, et kindlustada IKT toodete ja teenuste küberturvalisus.

Üldiselt tunneb arvamuse koostaja heameelt Euroopa Komisjoni välja pakutud käsitluse üle, eriti toetab ta Euroopa küberturvalisuse sertifitseerimise kavade kasutusele võtmist, mille eesmärk on suurendada IKT toodete ja teenuste turvalisust ja vältida ühtse turu kulukat killustatust selles üliolulises valdkonnas. Kuigi esialgu peaks see jääma vabatahtlikuks töövahendiks, loodab arvamuse koostaja, et Euroopa küberturvalisuse sertifitseerimise raamistik ja sellega seonduvad toimingud muutuvad vajalikeks abivahendeiks meie kodanike ja kasutajate usalduse tõstmisel ning ühtsel turul ringlevate toodete ja teenuste turvalisuse suurendamisel.

Arvamuse koostaja on veendunud ka selles, et ettepaneku mitmeid punkte tuleks selgitada ja parandada.

•  Esiteks, ENISA juhtimisel sertifitseerimise ettevalmistava kava koostamisel asjaomaste sidusrühmade kaasamise suurendamine juhtimissüsteemi erinevatesse etappidesse: arvamuse koostaja arvates on tähtis kaasata ametlikult kõige olulisemad sidusrühmad, näiteks IKT tööstus, tarbijaorganisatsioonid, VKEd, ELi standardiorganisatsioonid ja ELi valdkondlikud asutused jne, ning anda neile võimalus luua uusi ettevalmistavaid kavasid, jagada ENISAga oma pädevust ja teha ENISAga koostööd ettevalmistava kava koostamisel.

•  Teiseks on vaja tugevdada Euroopa küberturvalisuse sertifitseerimise rühma (mis koosneb rahvuslikest ametiasutustest ja mida toetab komisjon ja ENISA) koordineerivat rolli, lisades ülesandeid, et pakkuda strateegilist suunist ja luua tööprogramm ühismeetmete võtmiseks liidu tasandil sertifitseerimise valdkonnas, aga ka selleks, et koostada ja perioodiliselt ajakohastada erinimekirja IKT toodetest ja teenustest, mille jaoks peab Euroopa küberturvalisuse sertifitseerimise rühm vajalikuks Euroopa küberturvalisuse sertifitseerimise kava.

•  Arvamuse koostaja usub siiralt, et tuleks hoiduda kõige soodsamate võimalustega ELi sertifitseerimiskava otsimisest, mis on juba juhtunud teistes sektorites. ENISA seire ja järelevalve eeskirjad ning riiklikud sertifitseerimise järelevalveasutused peaksid olema tugevalt täiustatud, et kindlustada liikmesriigis väljastatud Euroopa sertifikaadi vastavus samadele standarditele ja nõuetele võrreldes teises liikmesriigis väljastatud sertifikaadiga. Seetõttu teeb arvamuse koostaja järgmised ettepanekud:

1) suurendada ENISA järelevalve volitusi: ENISA koos koordineeriva rühmaga peaks hindama menetlusi, mille on kehtestanud ELi sertifikaatide välja andmise eest vastutavad ametid;

2) riiklikud sertifitseerimise järelevalveasutused peaksid perioodiliselt (vähemalt iga kahe aasta tagant) hindama ELi sertifikaate, mille on väljastanud vastavushindamisasutused;

3) ühiste siduvate kriteeriumide kehtestamine, mille määratleb sertifitseerimise rühm selles osas, millises ulatuses, millise sisu ja sagedusega peaksid riiklikud sertifitseerimise järelevalveasutused viima ellu punktis 2 viidatud hindamisi.

•  Arvamuse koostaja usub, et lõppkasutajatele mõeldud sertifitseeritud IKT toodetele ja teenustele tuleks kehtestada kohustuslik ELi usaldusmärgis. See märgis aitaks parandada teadlikkust küberturvalisusest ja annaks hea küberturvalisuse mandaadiga ettevõtetele konkurentsieelise.

•  Arvamuse koostaja nõustub Euroopa Komisjoni ühtse ja ühtlustatud käsitlusviisiga, kuid on veendunud, et see peaks olema paindlikum ning kohandatavam iga toote või teenuse eriomadustele ja nõrkustele – puudub ühtne, igas olukorras rakendatav käsitlus. Seetõttu usub arvamuse koostaja, et usaldusväärsuse tasemed peaksid olema ümber nimetatud ja neid tuleks kasutada IKT toodete ja teenuste ette nähtud kasutusotstarvet arvesse võttes. Sarnaselt peaks sertifikaadi kehtivusaeg olema määratletud kava kaupa.

•  Iga sertifitseerimise kava peaks olema kavandatud selliselt, et stimuleerida ja julgustada toodete ja teenuste elutsükli kõigis etappides kõiki osalisi, kes on seotud turvalisuse standardite, tehniliste normide ning sisseprojekteeritud turbe ja lõimprivaatsuse põhimõtete välja töötamise ja kasutusele võtmisega.

MUUDATUSETTEPANEKUD

Siseturu- ja tarbijakaitsekomisjon palub vastutaval tööstuse, teadusuuringute ja energeetikakomisjonil võtta arvesse järgmisi muudatusettepanekuid:

Muudatusettepanek    1

Ettepanek võtta vastu määrus

Põhjendus 1

Komisjoni ettepanek

Muudatusettepanek

(1)  Võrgu- ja infosüsteemidel ning telekommunikatsioonivõrkudel ja -teenustel on ühiskonnas elutähtis roll ning neist on saanud majanduskasvu tugisammas. Info- ja kommunikatsioonitehnoloogia on aluseks keerukatele süsteemidele, millele toetub ühiskondlik tegevus, mis tagavad majanduse toimimise võtmetähtsusega sektorites nagu tervishoid, energeetika, rahandus ja transport ning mis toetavad ennekõike siseturu toimimist.

(1)  Võrgu- ja infosüsteemidel ning telekommunikatsioonivõrkudel ja -teenustel on ühiskonnas elutähtis roll ning neist on saanud majanduskasvu tugisammas. Info- ja kommunikatsioonitehnoloogia (IKT) on aluseks keerukatele süsteemidele, millele toetub igapäevane ühiskondlik tegevus, mis tagavad majanduse toimimise võtmetähtsusega sektorites nagu tervishoid, energeetika, rahandus ja transport ning mis toetavad ennekõike siseturu toimimist.

Muudatusettepanek    2

Ettepanek võtta vastu määrus

Põhjendus 2

Komisjoni ettepanek

Muudatusettepanek

(2)  Võrgu- ja infosüsteemide kasutamine kogu liidu kodanike, ettevõtjate ja valitsusasutuste seas on nüüd valdav. Digiteeritus ja ühenduvus on muutumas üha suurema hulga toodete ja teenuste põhitunnusteks ning asjade interneti kasutuselevõtuga võib eeldada, et järgmise kümne aasta jooksul võetakse kogu ELis kasutusele miljoneid kui mitte miljardeid ühendatud digitaalseid seadmeid. Kuigi internetti ühendatud seadmete arv kasvab, ei ole turvalisus ja vastupidavus neisse piisavalt sisse projekteeritud ning see toob kaasa ebapiisava küberturvalisuse. Sellises olukorras tähendab sertifitseerimise piiratud kasutamine, et organisatsioonidest ja eraisikutest kasutajatel ei ole IKT toodete ja teenuste küberturvalisuse omaduste kohta piisavalt teavet ning see vähendab usaldust digilahenduste vastu.

(2)  Võrgu- ja infosüsteemide kasutamine kogu liidu kodanike, ettevõtjate ja valitsusasutuste seas on nüüd valdav. Digiteeritus ja ühenduvus on muutumas üha suurema hulga toodete ja teenuste põhitunnusteks ning asjade interneti kasutuselevõtuga võib eeldada, et järgmise kümne aasta jooksul võetakse kogu ELis kasutusele miljoneid kui mitte miljardeid ühendatud digitaalseid seadmeid. Kuigi internetti ühendatud seadmete arv kasvab, ei ole turvalisus ja vastupidavus neisse piisavalt sisse projekteeritud ning see toob kaasa ebapiisava küberturvalisuse. Sellises olukorras tähendab sertifitseerimise piiratud kasutamine, et organisatsioonidest ja eraisikutest kasutajatel ei ole IKT toodete ja teenuste küberturvalisuse omaduste kohta piisavalt teavet ning see vähendab usaldust digilahenduste vastu, mis on oluline digitaalse ühtse turu loomiseks.

Muudatusettepanek    3

Ettepanek võtta vastu määrus

Põhjendus 3

Komisjoni ettepanek

Muudatusettepanek

(3)  Ulatuslikum digiteerimine ja ühenduvus toovad kaasa suuremad küberturvalisuse riskid, mille tõttu on kogu ühiskond küberohtude poolt lihtsamini haavatav ning üksikisikute, sh haavatavate isikute (nt laste) vastu suunatud ohud tulevad selgemalt esile. Et seda ühiskonna vastu suunatud riski leevendada, tuleb võtta kõik vajalikud meetmed, et parandada ELis küberturvalisust ning pakkuda küberohtude eest paremat kaitset võrgu- ja infosüsteemidele, telekommunikatsioonivõrkudele, digitaalsetele toodetele, teenustele ja seadmetele, mida kasutavad kodanikud, valitsused ja ettevõtjad alates VKEdest kuni elutähtsate taristute operaatoriteni.

(3)  Ulatuslikum digiteerimine ja ühenduvus toovad kaasa palju suuremad küberturvalisuse riskid, mille tõttu on kogu ühiskond küberohtude poolt lihtsamini haavatav ning üksikisikute, sh haavatavate isikute (nt laste) vastu suunatud ohud tulevad selgemalt esile. Ühiskond üldiselt, aga ka küberkurjategijad rakendavad tehisintellekti ja masinõppe ümberkujundamisvõimet. Et neid ühiskonna vastu suunatud riske leevendada, tuleb võtta kõik vajalikud meetmed, et parandada ELis kaitset küberrünnete vastu ning pakkuda küberohtude eest paremat kaitset võrgu- ja infosüsteemidele, telekommunikatsioonivõrkudele, digitaalsetele toodetele, teenustele ja seadmetele, mida kasutavad kodanikud, valitsused ja ettevõtjad alates VKEdest kuni elutähtsate taristute operaatoriteni.

Muudatusettepanek    4

Ettepanek võtta vastu määrus

Põhjendus 4

Komisjoni ettepanek

Muudatusettepanek

(4)  Küberründeid tuleb ette üha sagedamini ning küberohtude poolt lihtsamini haavatavat ühendatud majandust ja ühiskonda tuleb jõulisemalt kaitsta. Kuigi küberründed on sageli piiriülesed, on küberturvalisusega tegelevate ametiasutuste reageeringud ja õiguskaitseasutuste pädevus valdavalt riigipõhised. Mastaapsed küberintsidendid võivad katkestada elutähtsate teenuste pakkumise kogu ELis. See tähendab, et ELi tasandil on vaja tõhusat reageerimist ja kriisihaldust, mis tugineks sellekohastele põhimõtetele ning Euroopa solidaarsuse ja vastastikuse abi mitmekülgsetele vahenditele. Seepärast on usaldusväärsetel liidu andmetel põhinev liidu küberturvalisuse ja vastupidavuse olukorra regulaarne hindamine ning nii liidu kui ka maailma tasandi edasiste arengusuundade, väljakutsete ja ohtude süstemaatiline hindamine tähtis nii poliitikakujundajate ja tööstuse kui ka kasutajate jaoks.

(4)  Küberründeid tuleb ette üha sagedamini ning küberohtude poolt lihtsamini haavatavat ühendatud majandust ja ühiskonda tuleb jõulisemalt ja turvalisemalt kaitsta. Kuigi küberründed on sageli piiriülesed, on küberturvalisusega tegelevate ametiasutuste reageeringud ja õiguskaitseasutuste pädevus valdavalt riigipõhised. Mastaapsed küberintsidendid võivad katkestada elutähtsate teenuste pakkumise kogu ELis. See tähendab, et ELi tasandil on vaja tõhusat reageerimist ja kriisihaldust, mis tugineks sellekohastele põhimõtetele ning Euroopa solidaarsuse ja vastastikuse abi mitmekülgsetele vahenditele. Seepärast on usaldusväärsetel liidu andmetel põhinev liidu küberturvalisuse ja vastupidavuse olukorra regulaarne hindamine ning nii liidu kui ka maailma tasandi edasiste arengusuundade, väljakutsete ja ohtude süstemaatiline hindamine tähtis nii poliitikakujundajate ja tööstuse kui ka kasutajate jaoks.

Muudatusettepanek    5

Ettepanek võtta vastu määrus

Põhjendus 5

Komisjoni ettepanek

Muudatusettepanek

(5)  Arvestades, et liitu ähvardavad küberturvalisuse probleemid kasvavad, on vaja igakülgset meetmete kogumit, mis toetuks liidu varasemale tegevusele ja edendaks üksteist vastastikku tugevdavaid eesmärke. Siia hulka kuulub vajadus veelgi suurendada liikmesriikide ja ettevõtjate suutlikkust ja valmisolekut ning parandada koostööd ja koordineerimist liikmesriikide ja ELi institutsioonide, asutuste ja organite vahel. Küberohud ei hooli riigipiiridest ja seepärast tuleb suurendada liidu tasandi suutlikkust, et see täiendaks liikmesriikide meetmeid eeskätt mastaapsete piiriüleste küberintsidentide ja -kriiside korral. Rohkem tuleb ära teha ka selleks, et suurendada kodanike ja ettevõtjate teadlikkust küberturvalisuse küsimustest. Ühtlasi tuleks veelgi suurendada usaldust digitaalse ühtse turu vastu ning pakkuda selleks läbipaistvat teavet IKT toodete ja teenuste turvalisuse tasemete kohta. Sellele saab kaasa aidata kogu ELi hõlmava sertifitseerimisega, mis tagab ühised küberturvalisuse nõuded ja hindamiskriteeriumid liikmesriikide turgudel ja sektorites.

(5)  Arvestades, et liitu ähvardavad küberturvalisuse probleemid kasvavad, on vaja igakülgset meetmete kogumit, mis toetuks liidu varasemale tegevusele ja edendaks üksteist vastastikku tugevdavaid eesmärke. Siia hulka kuulub vajadus veelgi suurendada liikmesriikide ja ettevõtjate suutlikkust ja valmisolekut ning parandada koostööd ja koordineerimist liikmesriikide ja ELi institutsioonide, asutuste ja organite vahel. Küberohud ei hooli riigipiiridest ja seepärast tuleb suurendada liidu tasandi suutlikkust, et see täiendaks liikmesriikide meetmeid eeskätt mastaapsete piiriüleste küberintsidentide ja -kriiside korral. Rohkem tuleb ära teha ka selleks, et suurendada kodanike ja ettevõtjate teadlikkust küberturvalisuse küsimustest. Võttes arvesse tõsiasja, et küberintsidendid õõnestavad usaldust digitaalsete teenuste osutajate ja digitaalse ühtse turu kui sellise vastu, eeskätt tarbijate seas, tuleks ühtlasi veelgi suurendada usaldust, pakkudes IKT toodete ja teenuste turvalisuse tasemete kohta läbipaistvat teavet. Sellele saab kaasa aidata kogu ELi hõlmava standarditud sertifitseerimisega, mis põhineb Euroopa või rahvusvahelistel standarditel ning tagab ühised küberturvalisuse nõuded ja hindamiskriteeriumid liikmesriikide turgudel ja sektorites. Lisaks kogu liitu hõlmavale sertifitseerimisele on olemas mitmesugused vabatahtlikud meetmed, mida võiks võtta erasektoris IKT toodete ja teenuste turvalisuse vastu usalduse suurendamiseks, arvestades eriti asjade interneti seadmete suurenevat kättesaadavust. Näiteks tuleks tõhusamalt kasutada krüptimist ja muid tehnoloogiaid, sealhulgas selliseid, mis aitavad vältida küberrünnakute õnnestumist, nagu plokiaheltehnoloogia, et parendada lõppkasutajate andmete ja teabevahetuse turvalisust ning liidu võrgu- ja infosüsteemide üldist turvalisust.

Muudatusettepanek    6

Ettepanek võtta vastu määrus

Põhjendus 5 a (uus)

Komisjoni ettepanek

Muudatusettepanek

 

(5 a)  Kuigi IKT protsesside, toodete ja teenuste sertifitseerimine ning nendega seotud muud vastavushindamised on väga olulised, nõuab küberturvalisuse suurendamine mitmetahulist käsitust, mis hõlmab nii inimesi, protsesse kui ka tehnoloogiaid. Samuti peaks EL jätkuvalt tugevalt rõhutama ja edendama muid jõupingutusi, nagu küberturvalisusealane haridus, koolitus ja sellega seotud oskuste arendamine; teadlikkuse parandamine nii ettevõtete tegevjuhtimise kui ka juhatuse tasandil; küberohtudega seotud vabatahtliku teavitustöö edendamine; ning ohtudele reageerimisel ELi reageerivalt lähenemisviisilt ennetavale lähenemisviisile üleminek, pannes suurt rõhku küberrünnakute õnnestumise ärahoidmisele.

Muudatusettepanek    7

Ettepanek võtta vastu määrus

Põhjendus 7

Komisjoni ettepanek

Muudatusettepanek

(7)  Euroopa Liit on juba astunud olulisi samme, et tagada küberturvalisus ja suurendada usaldust digitehnoloogia vastu. 2013. aastal võeti vastu ELi küberjulgeoleku strateegia, millest juhinduda liidu poliitilises reageerimises küberturvalisuse ohtudele ja riskidele. Et eurooplasi veebis paremini kaitsta, võttis liit 2016. aastal vastu küberturvalisuse valdkonna esimese õigusakti – direktiivi (EL) 2016/1148 meetmete kohta, millega tagada võrgu- ja infosüsteemide turvalisuse ühtlaselt kõrge tase kogu liidus (edaspidi „võrgu- ja infoturbe direktiiv“). Võrgu- ja infoturbe direktiiviga pandi paika riikide suutlikkust puudutavad nõuded küberturvalisuse valdkonnas, kehtestati liikmesriikide vahelise strateegilise ja operatiivkoostöö edendamise esimesed mehhanismid ning juurutati turbemeetmete ja intsidentidest teatamise kohustused majanduse ja ühiskonna jaoks eluliselt tähtsates sektorites, nagu energeetika, transport, veevarustus, pangandus, finantsturutaristud, tervishoid, digitaristu, aga ka oluliste digitaalsete teenuste osutajate puhul (otsingumootorid, pilvandmetöötlusteenused ja internetipõhised kauplemiskohad). ENISA-le anti selle direktiivi rakendamise toetamisel põhiroll. Võitlus küberkuritegevusega on olulisel kohal ka Euroopa julgeoleku tegevuskavas, kus see aitab kaasa küberturvalisuse kõrge taseme saavutamise üldeesmärgile.

(7)  Euroopa Liit on juba astunud olulisi samme, et tagada küberturvalisus ja suurendada usaldust digitehnoloogia vastu. 2013. aastal võeti vastu ELi küberjulgeoleku strateegia, millest juhinduda liidu poliitilises reageerimises küberturvalisuse ohtudele ja riskidele. Et eurooplasi veebis paremini kaitsta, võttis liit 2016. aastal vastu küberturvalisuse valdkonna esimese õigusakti – direktiivi (EL) 2016/1148 meetmete kohta, millega tagada võrgu- ja infosüsteemide turvalisuse ühtlaselt kõrge tase kogu liidus (edaspidi „võrgu- ja infoturbe direktiiv“). Võrgu- ja infoturbe direktiiviga, mille edukus sõltub otseselt direktiivi tulemuslikust rakendamisest liikmesriikides, pandi paika riikide suutlikkust puudutavad nõuded küberturvalisuse valdkonnas, kehtestati liikmesriikide vahelise strateegilise ja operatiivkoostöö edendamise esimesed mehhanismid ning juurutati turbemeetmete ja intsidentidest teatamise kohustused majanduse ja ühiskonna jaoks eluliselt tähtsates sektorites, nagu energeetika, transport, veevarustus, pangandus, finantsturutaristud, tervishoid, digitaristu, aga ka oluliste digitaalsete teenuste osutajate puhul (otsingumootorid, pilvandmetöötlusteenused ja internetipõhised kauplemiskohad). ENISA-le anti selle direktiivi rakendamise toetamisel põhiroll. Võitlus küberkuritegevusega on olulisel kohal ka Euroopa julgeoleku tegevuskavas, kus see aitab kaasa küberturvalisuse kõrge taseme saavutamise üldeesmärgile.

Muudatusettepanek    8

Ettepanek võtta vastu määrus

Põhjendus 11

Komisjoni ettepanek

Muudatusettepanek

(11)  Arvestades liidu ees seisvate küberturvalisusega seotud probleemide kasvu, tuleks suurendada ametile eraldatavaid finants- ja inimressursse, et need vastaksid ameti tõhustatud rollile ja ülesannetele ning ameti tähtsale positsioonile Euroopa digitaalse ökosüsteemi kaitsmisel.

(11)  Arvestades liidu ees seisvate küberturvalisusega seotud ohtude ja probleemide kasvu, tuleks suurendada ametile eraldatavaid finants- ja inimressursse, et need vastaksid ameti tõhustatud rollile ja ülesannetele ning ameti tähtsale positsioonile Euroopa digitaalse ökosüsteemi kaitsmisel.

Muudatusettepanek    9

Ettepanek võtta vastu määrus

Põhjendus 28

Komisjoni ettepanek

Muudatusettepanek

(28)  Amet peaks aitama suurendada üldsuse teadlikkust küberturvalisusega seotud riskidest ja jagama kodanikele ja organisatsioonidele mõeldud juhiseid individuaalsete kasutajate heade tavade kohta; Amet peaks aitama kaasa ka parimate tavade ja lahenduste propageerimisele üksikisikute ja organisatsioonide tasandil; selleks tuleks koguda ja analüüsida avalikult kättesaadavat teavet oluliste intsidentide kohta ning koostada aruanded, et pakkuda ettevõtjatele ja kodanikele juhiseid ning parandada valmisoleku ja vastupidavuse üldist taset. Amet peaks korraldama koostöös liikmesriikide ja liidu institutsioonide, organite, asutuste ja ametitega korrapäraseid lõppkasutajatele suunatud üldsuse harimise ja teavituskampaaniaid, mille eesmärk on propageerida üksikisikute ohutumat veebikäitumist ja suurendada teadlikkust küberkeskkonnas varitseda võivatest ohtudest, sealhulgas sellistest küberkuritegudest nagu andmepüügi rünnakud, robotvõrgud, finants- ja pangapettused, ning tutvustada autentimise ja andmekaitse alaseid elementaarseid nõuandeid. Ametil peaks olema keskne roll selles, et lõppkasutajad saaksid kiiremini teadlikuks seadmete turvalisusest.

(28)  Amet peaks aitama suurendada üldsuse teadlikkust küberturvalisusega seotud riskidest ja jagama kodanikele ja organisatsioonidele mõeldud juhiseid individuaalsete kasutajate heade tavade kohta; Amet peaks aitama kaasa ka küberhügieeni parimate tavade ja lahenduste propageerimisele, mis tähendab lihtsaid rutiinseid meetmeid, mida üksikisikud ja organisatsioonid saavad võtta, et minimeerida küberohtude riske, näiteks mitmeteguriline autentimine, paikamine, krüptimine ja pääsuhaldus. Amet peaks selleks koguma ja analüüsima avalikult kättesaadavat teavet oluliste intsidentide kohta ning koostama ja avaldama aruandeid ja suuniseid, et pakkuda ettevõtjatele ja kodanikele juhiseid ning parandada valmisoleku ja vastupidavuse üldist taset. Amet peaks korraldama koostöös liikmesriikide ja liidu institutsioonide, organite, asutuste ja ametitega korrapäraseid lõppkasutajatele suunatud üldsuse harimise ja teavituskampaaniaid, mille eesmärk on propageerida üksikisikute ohutumat veebikäitumist ja suurendada teadlikkust meetmeist, mida saab võtta, et kaitsta end küberkeskkonnas varitseda võivate ohtude eest, sealhulgas sellised küberkuriteod nagu andmepüügi rünnakud, lunavara rünnakud, kaaperdamine, robotvõrgud, finants- ja pangapettused, ning tutvustada nõuandeid elementaarse mitmetegurilise autentimise, krüptimise, paikamise, pääsuhalduse põhimõtete, andmekaitse ning muude turvalisust ja eraelu puutumatust soodustavate tehnoloogiate ja andmete anonüümseks muutmise vahendite kohta. Ametil peaks olema keskne roll selles, et lõppkasutajad saaksid kiiremini teadlikuks seadmete turvalisusest ning seadmete turvalisest kasutamisest, edendades liidu tasandil sisseprojekteeritud turvet, mis on äärmiselt oluline ühendatud seadmete turvalisuse parandamiseks eelkõige haavatavate lõppkasutajate, sealhulgas laste jaoks, ja lõimprivaatsust. Amet peaks ergutama kõiki lõppkasutajaid võtma asjakohaseid meetmeid selleks, et ennetada ja vähendada nende võrkude ja infosüsteemide turvalisust ohustavate intsidentide mõju. Tuleks luua partnerlusi akadeemiliste asutustega, kel on teadusuuringute algatused asjakohases küberturvalisuse valdkonnas.

Muudatusettepanek    10

Ettepanek võtta vastu määrus

Põhjendus 35

Komisjoni ettepanek

Muudatusettepanek

(35)  Amet peaks innustama liikmesriike ja teenusepakkujaid tõstma oma üldisi turbestandardeid, et kõik internetikasutajad saaksid võtta vajalikud meetmed oma isikliku küberturvalisuse tagamiseks. Eelkõige peaksid tootjad ja teenuseosutajad võtma tagasi või taaskasutusse tooted ja teenused, mis ei vasta küberturvalisuse standarditele. Koostöös pädevate asutustega võib ENISA jagada teavet siseturul pakutavate toodete ja teenuste küberturvalisuse taseme kohta ning avaldada teenusepakkujatele ja tootjatele suunatud hoiatusi, milles nõutakse nende toodete ja teenuste turvalisuse, sealhulgas küberturvalisuse parandamist.

(35)  Amet peaks innustama liikmesriike ja teenusepakkujaid tõstma oma üldisi turbestandardeid, et kõik internetikasutajad saaksid võtta vajalikud meetmed oma isikliku küberturvalisuse tagamiseks. Eelkõige peaksid tootjad ja teenuseosutajad võtma tagasi või taaskasutusse tooted ja teenused, mis ei vasta küberturvalisuse standarditele. Koostöös pädevate asutustega võib ENISA jagada teavet siseturul pakutavate toodete ja teenuste küberturvalisuse taseme kohta ning avaldada teenusepakkujatele ja tootjatele suunatud hoiatusi, milles nõutakse nende toodete turvalisuse, sealhulgas küberturvalisuse parandamist. ENISA peaks sellised hoiatused avaldama veebilehel, mis on mõeldud teabe andmiseks sertifitseerimissüsteemide kohta. Amet peaks koostama suunised liidus müüdavate või liidust eksporditavate IT seadmete minimaalsete turvanõuete kohta. Sellistes suunistes võiks nõuda, et tootjad esitaksid kirjaliku avalduse, milles nad kinnitavad, et seade ei sisalda teadaolevate turvanõrkustega riistvara, tarkvara või püsivara komponente ega vahetamatut või krüptimata parooli või juurdepääsukoodi, et see sobib usaldusväärsete ja nõuetekohaselt autenditud turvauuenduste vastuvõtmiseks, et müüjate reageerimine mõjutatud seadmele hõlmab piisavate õiguskaitsevahendite hierarhiat ning et müüjad teavitavad lõppkasutajaid, kui seadme turbetugi lõpeb.

Muudatusettepanek    11

Ettepanek võtta vastu määrus

Põhjendus 36 a (uus)

Komisjoni ettepanek

Muudatusettepanek

 

(36 a)  Standardid on vabatahtlikud ja turupõhised vahendid, mis pakuvad tehnilisi nõudeid ja suuniseid, ning avatud, läbipaistva ja kaasava protsessi tulemus. Standardite kasutamine edendab kaupade ja teenuste vastavust liidu õigusnormidele ning toetab Euroopa poliitikat kooskõlas määrusega (EL) nr 1025/2012 Euroopa standardimise kohta. Amet peaks regulaarselt konsulteerima ja tegema koostööd Euroopa standardiorganisatsioonidega, eriti Euroopa küberturvalisuse sertifitseerimise kavade ettevalmistamisel.

Muudatusettepanek    12

Ettepanek võtta vastu määrus

Põhjendus 44

Komisjoni ettepanek

Muudatusettepanek

(44)  Ametil peaks olema nõuandva organina alaline sidusrühm, mis tagaks regulaarse dialoogi erasektori, tarbijate organisatsioonide ja teiste asjaomaste sidusrühmadega. Tegevdirektori ettepanekul haldusnõukogu asutatud alaline sidusrühm peaks keskenduma sidusrühmade jaoks olulistele küsimustele ja juhtima neile ameti tähelepanu. Alalise sidusrühma koosseis ja ülesanded (eelkõige tuleb rühmaga konsulteerida tööprogrammi projekti üle) peaksid tagama sidusrühmade piisava esindatuse ameti töös.

(44)  Ametil peaks olema nõuandva organina alaline sidusrühm, mis tagaks regulaarse dialoogi erasektori, tarbijate organisatsioonide, teadusasutuste ja teiste asjaomaste sidusrühmadega. Tegevdirektori ettepanekul haldusnõukogu asutatud alaline sidusrühm peaks keskenduma sidusrühmade jaoks olulistele küsimustele ja juhtima neile ameti tähelepanu. Sidusrühmade asjakohase kaasamise tagamiseks küberturvalisuse sertifitseerimise raamistikku peaks alaline sidusrühm andma nõu ka selle kohta, millised IKT tooted ja teenused tuleks hõlmata tulevaste Euroopa küberturvalisuse sertifitseerimise kavadega ning esitama komisjonile ettepanekuid nõuda ametilt selliste IKT toodete ja teenuste kohta ettevalmistavate kavade koostamist kas omal algatusel või pärast asjaomastelt sidusrühmadelt saadud ettepanekuid. Alalise sidusrühma koosseis ja ülesanded (eelkõige tuleb rühmaga konsulteerida tööprogrammi projekti üle) peaksid tagama sidusrühmade tõhusa ja võrdse esindatuse ameti töös.

Muudatusettepanek    13

Ettepanek võtta vastu määrus

Põhjendus 46

Komisjoni ettepanek

Muudatusettepanek

(46)  Et tagada ameti täielik autonoomia ja sõltumatus ning võimaldada tal täita uusi ja lisaülesandeid, sealhulgas kiireloomulisi erakorralisi ülesandeid, tuleks ametile eraldada piisav ja autonoomne eelarve, mille peamine tulu tuleb liidu osamaksest ja ameti töös osalevate kolmandate riikide sissemaksetest. Enamik ameti töötajaid peaks olema otseselt tegev ameti manaadi rakendamises. Asukohaliikmesriigil või mis tahes muul liikmesriigil peaks olema lubatud teha ameti tuludesse vabatahtlikult sissemakseid. Liidu eelarvemenetluse kohaldamist tuleks jätkata mis tahes subsiidiumide suhtes, mida makstakse Euroopa Liidu üldeelarvest. Lisaks sellele peaks ameti raamatupidamisarvestust läbipaistvuse ja vastutuse tagamiseks auditeerima kontrollikoda.

(46)  Et tagada ameti täielik autonoomia ja sõltumatus ning võimaldada tal täita uusi ja lisaülesandeid, sealhulgas kiireloomulisi erakorralisi ülesandeid, tuleks ametile eraldada piisav ja autonoomne eelarve, mille peamine tulu tuleb liidu osamaksest ja ameti töös osalevate kolmandate riikide sissemaksetest. Enamik ameti töötajaid peaks olema otseselt tegev ameti mandaadi rakendamises. Asukohaliikmesriigil või mis tahes muul liikmesriigil peaks olema lubatud teha ameti tuludesse vabatahtlikult sissemakseid. Liidu eelarvemenetluse kohaldamist tuleks jätkata mis tahes subsiidiumide suhtes, mida makstakse Euroopa Liidu üldeelarvest. Lisaks sellele peaks ameti raamatupidamisarvestust läbipaistvuse, vastutuse ja kulude tasuvuse tagamiseks auditeerima kontrollikoda.

Muudatusettepanek    14

Ettepanek võtta vastu määrus

Põhjendus 47

Komisjoni ettepanek

Muudatusettepanek

(47)  Vastavushindamine on hindamisprotsess, mille käigus hinnatakse, kas toote, protsessi, teenuse, süsteemi, isiku või asutusega seotud erinõuded on täidetud. Käesoleva määruse kohaldamisel tuleks sertifitseerimist käsitada teatavat liiki vastavushindamisena, mis puudutab toote, protsessi, teenuse, süsteemi või nende kombinatsiooni (edaspidi „IKT tooted ja teenused“) küberturvalisuse elemente ja mida teostab sõltumatu kolmas isik, mitte tootja või teenusepakkuja. Sertifitseerimine iseenesest ei taga, et sertifitseeritud IKT tooted ja teenused on küberturvalised. Pigem on see menetlus ja tehniline metoodika tõendamaks, et IKT tooteid ja teenuseid on kontrollitud ja et need vastavad teatavatele küberturvalisuse nõuetele, mis on sätestatud mujal, näiteks tehnilistes standardites.

(47)  Vastavushindamine on hindamisprotsess, mille käigus hinnatakse, kas toote, protsessi, teenuse, süsteemi, isiku või asutusega seotud erinõuded on täidetud. Käesoleva määruse kohaldamisel tuleks sertifitseerimist käsitada teatavat liiki vastavushindamisena, mis puudutab toote, protsessi, teenuse, süsteemi või nende kombinatsiooni (edaspidi „IKT tooted ja teenused“) küberturvalisuse elemente ja seonduvaid tavasid ning mida teostab sõltumatu kolmas isik või mida teostatakse ettevõtja kinnitusega vastavuse kohta. Sertifitseerimine iseenesest ei taga, et sertifitseeritud IKT tooted ja teenused on küberturvalised, ning lõppkasutajaid tuleks sellest teavitada. Pigem on see menetlus ja tehniline metoodika tõendamaks, et IKT tooteid ja teenuseid ning aluseks olevaid protsesse ja süsteeme on kontrollitud ja et need vastavad teatavatele küberturvalisuse nõuetele, mis on sätestatud mujal, näiteks tehnilistes standardites.

Muudatusettepanek    15

Ettepanek võtta vastu määrus

Põhjendus 48

Komisjoni ettepanek

Muudatusettepanek

(48)  Küberturvalisuse sertifitseerimisel on tähtis ülesanne IKT toodete ja teenuste turvalisuse ja nende vastu usalduse suurendamises. Digitaalne ühtne turg ning eelkõige andmepõhine majandus ja asjade internet saavad olla edukad vaid juhul, kui avalikkusel on kindlustunne, et sellised tooted ja teenused pakuvad teatavat küberturvalisuse taset. Internetiühendusega ja automatiseeritud autod, elektroonilised meditsiiniseadmed, tööstuslikud automatiseeritud juhtimissüsteemid või arukad võrgud on vaid mõned näited sektoritest, kus sertifitseerimist juba ulatuslikult kasutatakse või tõenäoliselt hakatakse lähitulevikus kasutama. Võrgu- ja infoturbe direktiiviga reguleeritud sektorid on ka sektorid, kus küberturvalisuse sertifitseerimine on äärmiselt oluline.

(48)  Küberturvalisuse Euroopa sertifitseerimisel on oluline ülesanne IKT toodete ja teenuste turvalisuse ja nende vastu usalduse suurendamises. Digitaalne ühtne turg ning eelkõige andmepõhine majandus ja asjade internet saavad olla edukad vaid juhul, kui avalikkusel on kindlustunne, et sellised tooted ja teenused pakuvad kõrget küberturvalisuse taset. Internetiühendusega ja automatiseeritud autod, elektroonilised meditsiiniseadmed, tööstuslikud automatiseeritud juhtimissüsteemid või arukad võrgud on vaid mõned näited sektoritest, kus sertifitseerimist juba ulatuslikult kasutatakse või tõenäoliselt hakatakse lähitulevikus kasutama. Võrgu- ja infoturbe direktiiviga reguleeritud sektorid on ka sektorid, kus küberturvalisuse sertifitseerimine on äärmiselt oluline.

Muudatusettepanek    16

Ettepanek võtta vastu määrus

Põhjendus 50

Komisjoni ettepanek

Muudatusettepanek

(50)  Praegu kasutatakse IKT toodete ja teenuste küberturvalisuse sertifitseerimist ainult piiratud ulatuses. Kui sertifitseerimine on olemas, siis peamiselt liikmesriigi tasandil või tööstusest lähtuvate kavade raames. Sellistes tingimustes ei tunnusta teised liikmesriigid üldiselt ühe riigi küberturvalisuse asutuse poolt välja antud sertifikaati. Seega võib juhtuda, et ettevõtted peavad sertifitseerima oma tooted ja teenused mitmes liikmesriigis, kus nad tegutsevad, näiteks et osaleda riiklikes hankemenetlustes. Lisaks sellele paistab, et kuigi on tekkimas uusi kavasid, ei ole ühtset ja terviklikku lähenemisviisi küberturvalisuse horisontaalsetele küsimustele, näiteks asjade interneti valdkonnas. Olemasolevatel kavadel on märkimisväärseid puudujääke ning erinevusi tootehõlmavuses, usaldusväärsuse tasemetes, sisulistes kriteeriumides ja tegelikus kasutamises.

(50)  Praegu kasutatakse IKT toodete ja teenuste küberturvalisuse sertifitseerimist ainult piiratud ulatuses. Kui sertifitseerimine on olemas, siis peamiselt liikmesriigi tasandil või tööstusest lähtuvate kavade raames. Sellistes tingimustes ei tunnusta teised liikmesriigid üldiselt ühe riigi küberturvalisuse asutuse poolt välja antud sertifikaati. Seega võib juhtuda, et ettevõtted peavad sertifitseerima oma tooted ja teenused mitmes liikmesriigis, kus nad tegutsevad, näiteks et osaleda riiklikes hankemenetlustes, suurendades seega oma kulusid. Lisaks sellele paistab, et kuigi on tekkimas uusi kavasid, ei ole ühtset ja terviklikku lähenemisviisi küberturvalisuse horisontaalsetele küsimustele, näiteks asjade interneti valdkonnas. Olemasolevatel kavadel on märkimisväärseid puudujääke ning erinevusi tootehõlmavuses, riskipõhise usaldusväärsuse tasemetes, sisulistes kriteeriumides ja tegelikus kasutamises.

Muudatusettepanek    17

Ettepanek võtta vastu määrus

Põhjendus 52

Komisjoni ettepanek

Muudatusettepanek

(52)  Eelnevat arvestades on vaja luua Euroopa küberturvalisuse sertifitseerimise raamistik, milles kehtestatakse välja töötatavate Euroopa küberturvalisuse sertifitseerimise kavade peamised horisontaalsed nõuded ning mis võimaldab tunnustada ja kasutada IKT toodete ja teenuste sertifikaate kõigis liikmesriikides. Euroopa raamistikul peaks olema kaks eesmärki: ühest küljest peaks see aitama suurendada usaldust nende kavade kohaselt sertifitseeritud IKT toodete ja teenuste vastu. Teisest küljest peaks see vältima üksteisele vastukäivate või kattuvate riiklike küberturvalisuse sertifikaatide paljusust ja seeläbi vähendama digitaalsel ühtsel turul tegutsevate ettevõtjate kulusid. Kavad peaksid olema mittediskrimineerivad ning põhinema rahvusvahelistel ja/või ELi standarditel, välja arvatud juhul, kui need standardid on ebatõhusad või ebasobivad ELi õiguspäraste eesmärkide saavutamiseks selles valdkonnas.

(52)  Eelnevat arvestades on vaja võtta kasutusele ühine käsitus ja luua Euroopa küberturvalisuse sertifitseerimise raamistik, milles kehtestatakse välja töötatavate Euroopa küberturvalisuse sertifitseerimise kavade peamised horisontaalsed nõuded ning mis võimaldab tunnustada ja kasutada IKT toodete ja teenuste sertifikaate kõigis liikmesriikides. Seejuures on oluline tugineda olemasolevatele riiklikele ja rahvusvahelistele kavadele ning vastastikuse tunnustamise süsteemidele, eelkõige kõrgemate ametnike infosüsteemide turbe rühmale, ning võimaldada selliste süsteemide kohastelt olemasolevatelt kavadelt sujuvat üleminekut uue Euroopa raamistiku kohastele kavadele. Euroopa raamistikul peaks olema kaks eesmärki: ühest küljest peaks see aitama suurendada usaldust nende kavade kohaselt sertifitseeritud IKT toodete ja teenuste vastu. Teisest küljest peaks see vältima üksteisele vastukäivate või kattuvate riiklike küberturvalisuse sertifikaatide paljusust ja seeläbi vähendama digitaalsel ühtsel turul tegutsevate ettevõtjate kulusid. Kui Euroopa küberturvalisuse sertifitseerimise kava on riikliku kava asendanud, tuleks lugeda juhtudel, kus oli nõutav sertifitseerimine riikliku kava alusel, kehtivaks Euroopa kava alusel väljastatud sertifikaadid. Kavades tuleks juhinduda sisseprojekteeritud turbe ja määruses (EL) 2016/679 osutatud põhimõtetest. Need peaksid ühtlasi olema mittediskrimineerivad ning põhinema rahvusvahelistel ja/või ELi standarditel, välja arvatud juhul, kui need standardid on ebatõhusad või ebasobivad ELi õiguspäraste eesmärkide saavutamiseks selles valdkonnas.

Muudatusettepanek    18

Ettepanek võtta vastu määrus

Põhjendus 52 a (uus)

Komisjoni ettepanek

Muudatusettepanek

 

(52 a)  Euroopa küberturvalisuse sertifitseerimise raamistik tuleb luua ühetaoliselt kõikides liikmesriikides, et vältida sertifikaatide ostlemise tava, mille põhjuseks on erinevad kulud ja eri rangusega nõuded liikmesriikides.

Muudatusettepanek    19

Ettepanek võtta vastu määrus

Põhjendus 55

Komisjoni ettepanek

Muudatusettepanek

(55)  Euroopa küberturvalisuse sertifitseerimise kavade eesmärk on kinnitada, et sellise kava kohaselt sertifitseeritud IKT tooted ja teenused vastavad kirjeldatud nõuetele. Nimetatud nõuded puudutavad võimet pidada teataval usaldusväärsuse tasemel vastu tegevustele, mille eesmärk on rikkuda salvestatud, edastatud või töödeldud andmete või nende toodete, protsesside, teenuste ja süsteemide asjaomaste funktsioonide või nende poolt pakutavate või nende kaudu juurdepääsetavate teenuste käideldavust, autentsust, terviklust või konfidentsiaalsust käesoleva määruse tähenduses. Käesolevas määruses ei ole võimalik üksikasjalikult kirjeldada kõigi IKT toodete ja teenuste suhtes kohaldatavaid küberturvalisuse nõudeid. IKT tooted ja teenused ning nendega seotud küberturvalisuse vajadused on nii mitmekesised, et on väga raske esitada üldiseid küberturvalisuse nõudeid, mis kehtiksid kõikjal. Seetõttu on vaja sertifitseerimise eesmärgil võtta kasutusele lai ja üldine küberturvalisuse mõiste, mida täiendab rida konkreetseid küberturvalisuse eesmärke, mida tuleb Euroopa küberturvalisuse sertifitseerimise kavade koostamisel arvesse võtta. Nende eesmärkide saavutamise meetodid konkreetsete IKT toodete ja teenuste puhul tuleks täpsustada üksikasjalikult igas individuaalses sertifitseerimiskavas, mille komisjon vastu võtab, näiteks viidates standarditele või tehnilistele kirjeldustele.

(55)  Euroopa küberturvalisuse sertifitseerimise kavade eesmärk on aidata kaasa kõrgetasemelisele lõppkasutaja kaitsele ja Euroopa konkurentsivõimele ning suurendada turvalisuse taset digitaalsel ühtsel turul, ja veel täpsemalt kinnitada, et sellise kava kohaselt sertifitseeritud IKT tooted ja teenused vastavad kirjeldatud nõuetele. Nimetatud nõuded puudutavad võimet pidada teataval usaldusväärsuse tasemel vastu tegevustele, mille eesmärk on rikkuda salvestatud, edastatud või töödeldud andmete või nende protsesside, toodete, teenuste ja süsteemide asjaomaste funktsioonide või nende poolt pakutavate või nende kaudu juurdepääsetavate protsesside käideldavust, autentsust, terviklust või konfidentsiaalsust käesoleva määruse tähenduses. Käesolevas määruses ei ole võimalik üksikasjalikult kirjeldada kõigi IKT toodete ja teenuste suhtes kohaldatavaid küberturvalisuse nõudeid. IKT tooted ja teenused ning nendega seotud küberturvalisuse vajadused on nii mitmekesised, et on väga raske esitada üldiseid küberturvalisuse nõudeid, mis kehtiksid kõikjal. Seetõttu on vaja sertifitseerimise eesmärgil võtta kasutusele lai ja üldine küberturvalisuse mõiste, mida täiendab rida konkreetseid küberturvalisuse eesmärke, mida tuleb Euroopa küberturvalisuse sertifitseerimise kavade koostamisel arvesse võtta. Nende eesmärkide saavutamise meetodid konkreetsete IKT toodete ja teenuste puhul tuleks täpsustada üksikasjalikult igas individuaalses sertifitseerimiskavas, mille komisjon vastu võtab, näiteks viidates standarditele või tehnilistele kirjeldustele. On ülimalt tähtis, et kõik Euroopa küberturvalisuse sertifitseerimise kavad oleksid välja töötatud selliselt, et need motiveeriksid ja julgustaksid kõiki asjaomase sektori osalisi välja töötama ja vastu võtma turvalisuse standardeid, tehnilisi norme ning sisseprojekteeritud turbe põhimõtteid toodete ja teenuste olelusringi kõikides etappides. Kui sertifitseerimiskava näeb ette märgid või märgistused, tuleb välja tuua ka nende märkide või märgistuste kasutamise tingimused. Selline märgis, mis võiks olla esitatud digitaalse logona või QR-koodina, osutaks IKT-toodete ja -teenuste käitamise ja kasutamisega seotud riskidele ning see peaks olema lõpptarbijale selgelt ja hõlpsasti mõistetav.

Muudatusettepanek    20

Ettepanek võtta vastu määrus

Põhjendus 55 a (uus)

Komisjoni ettepanek

Muudatusettepanek

 

(55 a)  Pidades silmas innovatsiooni arengusuundi ning tõsiasja, et asjade interneti seadmed on muutumas üha kättesaadavamaks ja arvukamaks kogu ühiskonna lõikes, tuleb erilist tähelepanu pöörata kõikide, isegi kõige lihtsamate asjade interneti toodete turvalisusele. Kuna sertifitseerimine on üks peamisi viise, mis aitab suurendada usaldust turul ning turvalisust ja vastupidavust, tuleks ELi uues küberturvalisuse sertifitseerimise raamistikus panna suurt rõhku asjade interneti toodetele ja teenustele, et vähendada nende nõrkusi ning muuta need tarbijate ja ettevõtjate jaoks turvalisemaks.

Muudatusettepanek    21

Ettepanek võtta vastu määrus

Põhjendus 56

Komisjoni ettepanek

Muudatusettepanek

(56)  Komisjonile tuleks anda volitused paluda ENISA-l koostada ettevalmistav sertifitseerimiskava konkreetsete IKT toodete ja teenuste jaoks. Seejärel tuleks anda komisjonile volitused võtta ENISA esitatud ettevalmistava kava põhjal rakendusaktidega vastu Euroopa küberturvalisuse sertifitseerimise kava. Võttes arvesse käesolevas määruses määratletud üldeesmärki ja turvalisusega seotud eesmärke, tuleks komisjoni poolt vastu võetud Euroopa küberturvalisuse sertifitseerimise kavades täpsustada konkreetse kava sisu, ulatuse ja toimimise minimaalsed üksikasjad. Need peaksid hõlmama muu hulgas küberturvalisuse sertifikaadi ulatust ja sisu, sealhulgas hõlmatud IKT toodete ja teenuste kategooriad, küberturvalisuse nõuete üksikasjalik kirjeldus, näiteks viide standarditele või tehnilistele kirjeldustele, konkreetsed hindamiskriteeriumid ja -meetodid ning kavandatud usaldusväärsuse tase: baastase, märkimisväärne ja/või kõrge tase

(56)  ENISA peaks haldama lihtsalt kasutatava veebivahendiga spetsiaalset veebisaiti, kust leiab teavet vastuvõetud kavade, ettevalmistavate kavade ja komisjoni nõutud kavade kohta. Võttes arvesse käesolevas määruses määratletud üldeesmärki ja turvalisusega seotud eesmärke, tuleks komisjoni poolt vastu võetud Euroopa küberturvalisuse sertifitseerimise kavades täpsustada konkreetse kava sisu, ulatuse ja toimimise minimaalsed üksikasjad. Need peaksid hõlmama muu hulgas küberturvalisuse sertifikaadi ulatust ja sisu, sealhulgas hõlmatud IKT toodete ja teenuste kategooriad, küberturvalisuse nõuete üksikasjalik kirjeldus, näiteks viide standarditele või tehnilistele kirjeldustele, IKT toote, protsessi või teenuse kasutamise ja käitamisega seotud konkreetsed hindamiskriteeriumid ja -meetodid, nende olemuslikud riskid ning kavandatud usaldusväärsuse tase: funktsionaalselt turvaline, st usaldusväärsuse tase on funktsionaalsel määral turvaline, märkimisväärselt turvaline, üliturvaline või nende kombinatsioon. Selleks et lõppkasutajat mitte eksitada, ei peaks nimetatud usaldusväärsuse taseme puhul mainima absoluutset turvalisust. Arvesse tuleks võtta ka toote kogu olelusringi. Selleks et täpsustada, milliste riskide suhtes on konkreetne toode või teenus kavandatud vastupanuvõimeline olema, peaks ENISA koordineerima kontrollnimekirja koostamist, kus on loetletud riskid, millega IKT protsess, toode või teenus eeldatavasti kokku puutub konkreetse kasutajakategooria puhul ja konkreetses keskkonnas.

Muudatusettepanek    22

Ettepanek võtta vastu määrus

Põhjendus 56 a (uus)

Komisjoni ettepanek

Muudatusettepanek

 

(56 a)  Komisjonile tuleks anda õigus paluda ENISA-l koostada ettevalmistav sertifitseerimiskava konkreetsete IKT toodete ja teenuste jaoks. Komisjonile tuleks delegeerida volitus võtta kooskõlas Euroopa Liidu toimimise lepingu artikliga 290 vastu õigusakte seoses Euroopa küberturvalisuse sertifitseerimise kavade kehtestamisega IKT toodetele ja teenustele. Eriti oluline on see, et komisjon viiks oma ettevalmistava töö käigus läbi asjakohaseid konsultatsioone, sealhulgas ekspertide tasandil, ja et kõnealused konsultatsioonid viidaks läbi kooskõlas 13. aprilli 2016. aasta institutsioonidevahelises parema õigusloome kokkuleppes sätestatud põhimõtetega. Eelkõige selleks, et tagada delegeeritud õigusaktide ettevalmistamises võrdne osalemine, saavad Euroopa Parlament ja nõukogu kõik dokumendid liikmesriikide ekspertidega samal ajal ning nende ekspertidel on pidev juurdepääs komisjoni eksperdirühmade koosolekutele, kus arutatakse delegeeritud õigusaktide ettevalmistamist. Komisjon peaks asjaomaste delegeeritud õigusaktide vastuvõtmisel IKT toodete ja teenuste küberturvalisuse sertifitseerimise kavade aluseks võtma ühe asjaomastest ettevalmistatud kavadest, mille kohta ENISA on ettepaneku teinud. Selleks et tekitada usaldus küberturvalisuse sertifitseerimise raamistiku vastu ning parandada selle prognoositavust ja suurendada avalikkuse teadlikkust raamistikust.

Muudatusettepanek    23

Ettepanek võtta vastu määrus

Põhjendus 56 b (uus)

Komisjoni ettepanek

Muudatusettepanek

 

(56 b)  Lisaks muudele kõikide Euroopa küberturvalisuse sertifitseerimise kavadega seotud hindamismeetoditele ja -menetlustele tuleks liidu tasandil edendada ka eetilist häkkimist, mille eesmärk on välja selgitada seadmete ja infosüsteemide nõrgad ja haavatavad kohad, ennetades kuritahtlike kavatsustega häkkerite tegevust ja oskusi.

Muudatusettepanek    24

Ettepanek võtta vastu määrus

Põhjendus 58

Komisjoni ettepanek

Muudatusettepanek

(58)  Kui Euroopa küberturvalisuse sertifitseerimise kava on vastu võetud, peaksid IKT toodete tootjad või IKT teenuste osutajad saama esitada enda valitud vastavushindamisasutusele taotluse oma toodete või teenuste sertifitseerimiseks. Kui vastavushindamisasutused vastavad käesolevas määruses sätestatud teatavatele konkreetsetele nõuetele, peaks akrediteerimisasutus need akrediteerima. Akrediteeringu saab anda maksimaalselt viieks aastaks ja selle kehtivust võib pikendada samadel tingimustel senikaua, kuni vastavushindamisasutus vastab nõuetele. Akrediteerimisasutus peaks vastavushindamisasutuse akrediteerimise tühistama, kui akrediteerimise tingimused ei ole täidetud või ei ole enam täidetud või asutuse poolt võetavad meetmed rikuvad käesolevat määrust.

(58)  Kui Euroopa küberturvalisuse sertifitseerimise kava on vastu võetud, peaksid IKT toodete tootjad või IKT teenuste osutajad saama esitada enda valitud vastavushindamisasutusele taotluse oma protsesside, toodete või teenuste sertifitseerimiseks, või kinnitama ise, et nende tooted või teenused vastavad asjaomase Euroopa küberturvalisuse setifitseerimise kava nõuetele.. Kui vastavushindamisasutused vastavad käesolevas määruses sätestatud teatavatele konkreetsetele nõuetele, peaks akrediteerimisasutus need akrediteerima. Akrediteeringu saab anda maksimaalselt viieks aastaks ja selle kehtivust võib pikendada samadel tingimustel senikaua, kuni vastavushindamisasutus vastab nõuetele. Akrediteerimisasutus peaks vastavushindamisasutuse akrediteerimise tühistama, kui akrediteerimise tingimused ei ole täidetud või ei ole enam täidetud või asutuse poolt võetavad meetmed rikuvad käesolevat määrust. Euroopa Liidu piires ühtse akrediteerimise tagamiseks peaksid riiklikud sertifitseerimise järelevalveasutused kohaldama enda suhtes vastastikust hindamist menetluste puhul, millega kontrollitakse küberturvalisuse sertifitseerimisele kuuluvate toodete vastavust.

Muudatusettepanek    25

Ettepanek võtta vastu määrus

Põhjendus 59

Komisjoni ettepanek

Muudatusettepanek

(59)  Liikmesriike tuleb kohustada määrama ühe küberturvalisuse sertifitseerimise järelevalveasutuse, kes jälgiks nende territooriumil asutatud vastavushindamisasutuste ja nende väljastatud sertifikaatide vastavust käesoleva määruse ja vastavate küberturvalisuse sertifitseerimise kavade nõuetele. Riiklikud sertifitseerimise järelevalveasutused peavad käsitlema füüsiliste või juriidiliste isikute esitatud kaebusi seoses nende riigi territooriumil asutatud vastavushindamisasutuste väljastatud sertifikaatidega, uurima asjakohasel määral kaebuse sisu ja teavitama kaebuse esitajat mõistliku aja jooksul uurimise käigust ja tulemusest. Lisaks peavad nad tegema koostööd teiste riiklike sertifitseerimise järelevalveasutuste või muude avaliku sektori asutustega, sealhulgas jagades teavet IKT toodete ja teenuste võimaliku mittevastavuse kohta käesoleva määruse või konkreetsete küberturvalisuse sertifitseerimise kavade nõuetele.

(59)  Liikmesriike tuleb kohustada määrama ühe küberturvalisuse sertifitseerimise järelevalveasutuse, kes jälgiks nende territooriumil asutatud vastavushindamisasutuste ja nende väljastatud sertifikaatide vastavust käesoleva määruse ja vastavate küberturvalisuse sertifitseerimise kavade nõuetele. Riiklikud sertifitseerimise järelevalveasutused peavad käsitlema füüsiliste või juriidiliste isikute esitatud kaebusi seoses nende riigi territooriumil asutatud vastavushindamisasutuste väljastatud sertifikaatidega, uurima asjakohasel määral kaebuse sisu ja teavitama kaebuse esitajat mõistliku aja jooksul uurimise käigust ja tulemusest. Lisaks peavad nad tegema koostööd teiste riiklike sertifitseerimise järelevalveasutuste või muude avaliku sektori asutustega, sealhulgas jagades teavet IKT toodete ja teenuste võimaliku mittevastavuse kohta käesoleva määruse või konkreetsete küberturvalisuse sertifitseerimise kavade nõuetele. Peale selle peavad nad jälgima ja kontrollima, et ettevõtjatepoolne nõuetele vastavuse kinnitus oleks nõuetekohane ja et vastavushindamisasutuste väljastatud Euroopa küberturvalisuse sertifikaadid oleksid väljastatud vastavalt käesolevas määruses ja muu hulgas Euroopa küberturvalisuse sertifitseerimise rühma vastu võetud eeskirjades ning vastavas Euroopa küberturvalisuse sertifitseerimise kavas sätestatud nõuetele. Riiklike sertifitseerimise järelevalveasutuste vaheline tõhus koostöö on vajalik, et rakendada nõuetekohaselt Euroopa küberturvalisuse sertifitseerimise kavasid ning IKT toodete ja teenuste küberturvalisusega seotud tehnilisi nõudmisi. Komisjon peaks hõlbustama sellist teabevahetust, tehes kättesaadavaks üldise elektroonilise teabe tugisüsteemi, näiteks turujärelevalve info- ja teavitussüsteem (ICSMS) ja ühenduse kiire teabevahetuse süsteem (RAPEX), mida juba kasutavad turujärelevalveasutused vastavalt määrusele (EÜ) nr 765/2008.

Muudatusettepanek    26

Ettepanek võtta vastu määrus

Põhjendus 63

Komisjoni ettepanek

Muudatusettepanek

(63)  Et vastavushindamisasutuste akrediteerimise kriteeriume veelgi täpsustada, peaks komisjonil olema õigus võtta kooskõlas Euroopa Liidu toimimise lepingu artikliga 290 vastu delegeeritud õigusakte. Komisjon peaks oma ettevalmistustöö jooksul pidama asjakohaseid konsultatsioone, sh ekspertide tasandil. Need konsultatsioonid tuleb läbi viia kooskõlas 13. aprilli 2016. aasta institutsioonidevahelise parema õigusloome kokkuleppes sätestatud põhimõtetega. Eelkõige selleks, et tagada võrdne osalemine delegeeritud õigusaktide ettevalmistamises, peaksid Euroopa Parlament ja nõukogu saama kõik dokumendid liikmesriikide ekspertidega samal ajal ning nende ekspertidel peaks olema pidev juurdepääs komisjoni eksperdirühmade koosolekutele, millel arutatakse delegeeritud õigusaktide ettevalmistamist.

välja jäetud

Muudatusettepanek    27

Ettepanek võtta vastu määrus

Põhjendus 65

Komisjoni ettepanek

Muudatusettepanek

(65)  Kontrollimenetlust tuleks kasutada selliste rakendusaktide vastuvõtmiseks, milles käsitletakse IKT toodete ja teenuste suhtes kohaldatavaid Euroopa küberturvalisuse sertifitseerimise kavasid; ameti korraldatavate uurimiste üksikasju ning asjaolusid, vorminguid ja korda, mille kohaselt riiklikud sertifitseerimise järelevalveasutused teavitavad komisjoni akrediteeritud vastavushindamisasutustest.

(65)  Kontrollimenetlust tuleks kasutada selliste rakendusaktide vastuvõtmiseks, milles käsitletakse IKT protsesside, toodete ja teenuste suhtes kohaldatavaid Euroopa küberturvalisuse sertifitseerimise kavasid; ameti korraldatavate uurimiste üksikasju ning asjaolusid, vorminguid ja korda, mille kohaselt riiklikud sertifitseerimise järelevalveasutused teavitavad komisjoni akrediteeritud vastavushindamisasutustest, võttes arvesse elektroonilise teavitamise vahendi (uue lähenemisviisi alusel teavitatud ja määratud organisatsioonid (NANDO)) tõendatud tulemuslikkust.

Muudatusettepanek    28

Ettepanek võtta vastu määrus

Põhjendus 66

Komisjoni ettepanek

Muudatusettepanek

(66)  Ameti tööd tuleks hinna sõltumatult. Hindamisel tuleks pidada silmas ameti eesmärkide saavutamist, selle töövõtteid ning ülesannete asjakohasust. Selle hindamise käigus tuleks vaadelda ka Euroopa küberturvalisuse sertifitseerimise raamistiku mõju, tulemuslikkust ja tõhusust.

(66)  Ameti tööd tuleks hinna sõltumatult. Hindamine peaks hõlmama ameti kulude õiguspärasust ja tõhusust, selle eesmärkide saavutamise tõhusust ja selle töövõtete kirjeldust ning ülesannete asjakohasust. Selle hindamise käigus tuleks vaadelda ka Euroopa küberturvalisuse sertifitseerimise raamistiku mõju, tulemuslikkust ja tõhusust.

Muudatusettepanek    29

Ettepanek võtta vastu määrus

Artikkel 2 – lõik 1 – punkt 11

Komisjoni ettepanek

Muudatusettepanek

(11)  „IKT toode ja teenus“ – võrgu- ja infosüsteemide mistahes element või elementide rühm;

(11)  „IKT protsess, toode ja teenus“ – toode, teenus, protsess, süsteem või nende kombinatsioon, mis on võrgu- ja infosüsteemide element;

 

(Muudatusettepanekut kohaldatakse kogu teksti ulatuses. Selle vastuvõtmise korral tehakse vastavad muudatused kogu tekstis.)

Muudatusettepanek    30

Ettepanek võtta vastu määrus

Artikkel 2 – lõik 1 – punkt 11 a (uus)

Komisjoni ettepanek

Muudatusettepanek

 

(11 a)  „riiklik sertifitseerimise järelevalveasutus“ – liikmesriigi asutus, mis vastutab oma territooriumil küberturvalisuse sertifitseerimisega seotud järelevalve, täitmise tagamise ja seire ülesannete täitmise eest;

Muudatusettepanek    31

Ettepanek võtta vastu määrus

Artikkel 2 – lõik 1 – punkt 16 a (uus)

Komisjoni ettepanek

Muudatusettepanek

 

(16 a)  „ettevõtja kinnitus vastavuse kohta“ – tootja deklaratsioon, milles kinnitatakse, et tema IKT protsess, toode või teenus vastab täpsustatud Euroopa küberturvalisuse sertifitseerimise kavadele;

Muudatusettepanek    32

Ettepanek võtta vastu määrus

Artikkel 3 – lõige 1

Komisjoni ettepanek

Muudatusettepanek

1.  Amet hakkab tegelema ülesannetega, mis talle käesoleva määrusega pannakse, et panustada kõrgetasemelisse küberturvalisusse liidus.

1.  Amet hakkab tegelema ülesannetega, mis talle käesoleva määrusega pannakse, et panustada ühise kõrgetasemelise küberturvalisuse saavutamisse, et hoida liidus ära küberrünnakuid, vähendada siseturu killustatust ja parandada selle toimimist.

Muudatusettepanek    33

Ettepanek võtta vastu määrus

Artikkel 4 – lõige 5

Komisjoni ettepanek

Muudatusettepanek

5.  Amet suurendab liidu tasandil küberturvalisuse alast suutlikkust, et täiendada liikmesriikide tegevust küberohtude ennetamisel ja neile reageerimisel, seda eeskätt piiriüleste intsidentide puhul.

5.  Amet aitab kaasa liidu tasandil küberturvalisuse alase suutlikkuse suurendamisele, et täiendada ja tugevdada liikmesriikide tegevust küberohtude ennetamisel ja neile reageerimisel, seda eeskätt piiriüleste intsidentide puhul.

Muudatusettepanek    34

Ettepanek võtta vastu määrus

Artikkel 4 – lõige 6

Komisjoni ettepanek

Muudatusettepanek

6.  Amet propageerib sertifitseerimist muu hulgas sellega, et aitab kaasa küberturvalisuse sertifitseerimise raamistiku loomisele ja haldamisele liidu tasandil vastavalt käesoleva määruse III jaotisele, et suurendada IKT toodete ja teenuste küberturvalisuse alase usaldusväärsuse läbipaistvust ning tugevdada seeläbi usaldust digitaalse siseturu vastu.

6.  Amet propageerib sertifitseerimist, vältides samal ajal killustatust, mille on põhjustanud liidu olemasolevate kavade koordineerituse puudumine. Amet aitab kaasa küberturvalisuse sertifitseerimise raamistiku loomisele ja haldamisele liidu tasandil vastavalt käesoleva määruse [III jaotise] artiklitele 43–54, et suurendada IKT toodete ja teenuste küberturvalisuse alase usaldusväärsuse läbipaistvust ning tugevdada seeläbi usaldust digitaalse ühtse turu vastu.

Muudatusettepanek    35

Ettepanek võtta vastu määrus

Artikkel 4 – lõige 7

Komisjoni ettepanek

Muudatusettepanek

7.  Amet edendab kodanike ja ettevõtjate heal tasemel teadlikkust küberturvalisusega seotud küsimustest.

7.  Amet edendab kodanike, ametiasutuste ja ettevõtjate heal tasemel teadlikkust küberturvalisusega seotud küsimustest.

Muudatusettepanek    36

Ettepanek võtta vastu määrus

Artikkel 5 – lõik 1 – punkt 1

Komisjoni ettepanek

Muudatusettepanek

1.  Abistab ja annab nõu, eeskätt jagab oma sõltumatut arvamust ja teeb ettevalmistusi liidu põhimõtete ja õiguse arendamise ja läbivaatamise jaoks küberturvalisuse valdkonnas, aga ka valdkonnaspetsiifiliste poliitiliste ja õiguslike algatuste jaoks, kui need puudutavad küberturvalisusega seotud küsimusi.

1.  Abistab ja annab nõu liidu põhimõtete ja õiguse arendamise ja läbivaatamise jaoks küberturvalisuse valdkonnas, aga ka valdkonnaspetsiifiliste poliitiliste ja õiguslike algatuste jaoks, kui need puudutavad küberturvalisusega seotud küsimusi.

Selgitus

Ametile tuleks anda vabadus valida vahendid oma ülesannete täitmiseks.

Muudatusettepanek    37

Ettepanek võtta vastu määrus

Artikkel 5 – lõik 1 – punkt 2 a (uus)

Komisjoni ettepanek

Muudatusettepanek

 

2 a.  Aitab määrusega (EL) 2016/679 loodud Euroopa Andmekaitsenõukogul määrata tehnilisel tasandil kindlaks tingimused, mis võimaldavad vastutavatel töötlejatel kasutada seaduslikult isikuandmeid IT-turvalisuse eesmärkidel nende taristu kaitsmiseks infosüsteemide vastu suunatud rünnete kindlakstegemise ja tõkestamise kaudu seoses i) määrusega (EL) 2016/6791a; ii) direktiiviga (EL) 2016/11481b, ja iii) direktiiviga 2002/58/EÜ1c.

 

_________________

 

1a Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määrus (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus) (ELT L 119, 4.5.2016, lk 1).

 

1b Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määrus (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus) (ELT L 119, 4.5.2016, lk 1).

 

1c Euroopa Parlamendi ja nõukogu 6. juuli 2016. aasta direktiiv (EL) 2016/1148 meetmete kohta, millega tagada võrgu- ja infosüsteemide turvalisuse ühtlaselt kõrge tase kogu liidus (ELT L 194, 19.7.2016, lk 1).

Selgitus

Nõuetekohaste koostöömehhanismide loomine.

Muudatusettepanek    38

Ettepanek võtta vastu määrus

Artikkel 5 – lõik 1 – punkt 4 – alapunkt 2

Komisjoni ettepanek

Muudatusettepanek

(2)  elektroonilise side suurema turvalisuse edendamist, muu hulgas oskusteabe ja nõu pakkumisega ning pädevate asutuste vaheliste parimate tavade jagamise soodustamisega.

(2)  elektroonilise side, andmete talletamise ja andmetöötluse suurema turvalisuse edendamist, muu hulgas oskusteabe ja nõu pakkumisega ning pädevate asutuste vaheliste parimate tavade jagamise soodustamisega.

Muudatusettepanek    39

Ettepanek võtta vastu määrus

Artikkel 6 – lõige 2 a (uus)

Komisjoni ettepanek

Muudatusettepanek

 

2 a.  Amet hõlbustab Euroopa pikaajalise küberturvalisuse projekti loomist ja käivitamist, et toetada ELi sõltumatu küberturvalisuse tööstuse arengut ja peavoolustada küberturvalisus kõikides ELi IKT-lahendustes.

Selgitus

ENISA peaks nõustama seadusandjaid poliitikameetmete ettevalmistamisel, et võimaldada ELil jõuda järele kolmandate riikide IT-turvalisuse sektoritele. Projekt peaks olema ulatuse poolest võrreldav sellega, mis on saavutatud juba lennundussektoris (Airbusi näide). See on vajalik selleks, et arendada välja tugevam, suveräänne ja usaldusväärne ELi IKT tööstus (vt teaduslike tuleviku-uuringute üksuse (STOA) uuringut PE 614.531).

Muudatusettepanek    40

Ettepanek võtta vastu määrus

Artikkel 7 – lõige 5 – lõik 1

Komisjoni ettepanek

Muudatusettepanek

Kahe või enama asjaomase liikmesriigi taotluse korral ja üksnes selleks, et anda nõu edasiste intsidentide vältimiseks, teeb amet tehnilise järeluurimise või pakub selleks vajalikku toetust pärast seda, kui mõjutatud ettevõtjad on teatanud märkimisväärse või olulise mõjuga intsidendist vastavalt direktiivile (EL) 2016/1148. Amet teeb sellise uurimise ka juhul, kui selline intsident on mõjutanud rohkem kui kaht liikmesriiki ning kui komisjon esitab asjaomaste liikmesriikide nõusolekul põhjendatud taotluse.

Ühe või enama asjaomase liikmesriigi taotluse korral ja üksnes selleks, et anda nõu edasiste intsidentide vältimiseks, teeb amet tehnilise järeluurimise või pakub selleks vajalikku toetust pärast seda, kui mõjutatud ettevõtjad on teatanud märkimisväärse või olulise mõjuga intsidendist vastavalt direktiivile (EL) 2016/1148. Amet teeb sellise uurimise ka juhul, kui selline intsident on mõjutanud rohkem kui kaht liikmesriiki ning kui komisjon esitab asjaomaste liikmesriikide nõusolekul põhjendatud taotluse.

Muudatusettepanek    41

Ettepanek võtta vastu määrus

Artikkel 7 – lõige 8 – punkt a

Komisjoni ettepanek

Muudatusettepanek

(a)  koondab riiklikest allikatest pärit aruandeid, et aidata kaasa ühise olukorrateadlikkuse tekitamisele;

(a)  koondab riiklikest ja rahvusvahelistest allikatest pärit aruandeid, et aidata kaasa ühise olukorrateadlikkuse tekitamisele;

Muudatusettepanek    42

Ettepanek võtta vastu määrus

Artikkel 8 – lõik 1 – punkt a – alapunkt 1 a (uus)

Komisjoni ettepanek

Muudatusettepanek

 

(1 a)  hindab koostöös Euroopa küberturvalisuse sertifitseerimise rühmaga Euroopa küberturvalisuse sertifikaatide välja andmise menetlusi, mille on kehtestanud artiklis 51 osutatud vastavushindamisasutused ja mille eesmärk on tagada, et sertifikaatide välja andmisel rakendaksid vastavushindamisasutused käesolevat määrust ühetaoliselt;

Muudatusettepanek    43

Ettepanek võtta vastu määrus

Artikkel 8 – lõik 1 – punkt a – alapunkt 1 b (uus)

Komisjoni ettepanek

Muudatusettepanek

 

(1 b)  teeb sõltumatuid perioodilisi järelkontrolle sertifitseeritud IKT toodete ja teenuste vastavuse kohta Euroopa küberturvalisuse sertifitseerimise kavadele;

Muudatusettepanek    44

Ettepanek võtta vastu määrus

Artikkel 8 – lõik 1 – punkt a – alapunkt 3

Komisjoni ettepanek

Muudatusettepanek

(3)  koostab ja avaldab juhiseid ja töötab välja häid tavasid IKT toodete ja teenuste küberturvalisuse nõuete kohta, tehes selleks koostööd riikide sertifitseerimisega tegelevate järelevalveasutuste ja tööstusega;

(3)  koostab ja avaldab juhiseid ja töötab välja häid tavasid, sealhulgas küberhügieeni põhimõtete ja salajaste tagauste tõkestamise valdkonnas, IKT toodete ja teenuste küberturvalisuse nõuete kohta, tehes selleks koostööd riikide sertifitseerimisega tegelevate järelevalveasutuste ja tööstusega formaalse, standarditud ja läbipaistva protsessi raames;

Muudatusettepanek    45

Ettepanek võtta vastu määrus

Artikkel 8 – lõik 1 – punkt b

Komisjoni ettepanek

Muudatusettepanek

(b)  hõlbustab riskihalduse ning IKT toodete ja teenuste turvalisuse Euroopa ja rahvusvaheliste standardite loomist ja kasutuselevõtmist ning koostab koostöös liikmesriikidega nõuandeid ja juhiseid oluliste teenuste operaatoritele ja digitaalsete teenuste osutajatele esitatavate turvalisusnõuetega seotud tehniliste valdkondade, aga ka juba olemas olevate standardite, kaasa arvatud liikmesriikide riiklike standardite kohta vastavalt direktiivi (EL) 2016/1148 artikli 19 lõikele 2;

(b)  konsulteerib rahvusvaheliste standardiorganisatsioonide ja Euroopa standardiorganisatsioonidega standardite väljatöötamisel, et tagada Euroopa küberturvalisuse sertifitseerimise kavades kasutatud standardite asjakohasus, ning hõlbustab asjakohaste riskihalduse ning IKT toodete ja teenuste turvalisuse Euroopa ja rahvusvaheliste standardite loomist ja kasutuselevõtmist ning koostab koostöös liikmesriikidega nõuandeid ja juhiseid oluliste teenuste operaatoritele ja digitaalsete teenuste osutajatele esitatavate turvalisusnõuetega seotud tehniliste valdkondade, aga ka juba olemas olevate standardite, kaasa arvatud liikmesriikide riiklike standardite kohta vastavalt direktiivi (EL) 2016/1148 artikli 19 lõikele 2;

Muudatusettepanek    46

Ettepanek võtta vastu määrus

Artikkel 8 – lõik 1 – punkt b a (uus)

Komisjoni ettepanek

Muudatusettepanek

 

(b a)  koostab suunised selle kohta, kuidas ja millal peavad liikmesriigid üksteist teavitama, kui nad saavad teada käesoleva määruse III jaotise kohaselt sertifitseeritud IKT protsessi, toote või teenuse nõrkusest, mis ei ole üldsusele teada, sealhulgas suunised nõrkuste avalikustamise poliitika koordineerimise kohta;

Muudatusettepanek    47

Ettepanek võtta vastu määrus

Artikkel 8 – lõik 1 – punkt b b (uus)

Komisjoni ettepanek

Muudatusettepanek

 

(b b)  koostab suunised liidus turule lastud või liidust eksporditud IT seadmete minimaalsete turvanõuete kohta;

Muudatusettepanek    48

Ettepanek võtta vastu määrus

Artikkel 9 – lõik 1 – punkt d

Komisjoni ettepanek

Muudatusettepanek

(d)  koondab, korraldab ja teeb avalikkusele spetsiaalse portaali kaudu kättesaadavaks liidu institutsioonide, ametite ja organite esitatud teavet küberturvalisuse kohta;

(d)  koondab, korraldab ja teeb avalikkusele spetsiaalse portaali kaudu kättesaadavaks liidu institutsioonide, ametite ja organite esitatud teavet küberturvalisuse kohta, sealhulgas teavet oluliste küberturvalisuse intsidentide ja suurte andmelekete kohta;

Muudatusettepanek    49

Ettepanek võtta vastu määrus

Artikkel 9 – lõik 1 – punkt e

Komisjoni ettepanek

Muudatusettepanek

(e)  suurendab üldsuse teadlikkust küberturvalisuse riskidest ja jagab kodanikele ja organisatsioonidele mõeldud juhiseid individuaalsete kasutajate heade tavade kohta;

(e)  suurendab üldsuse teadlikkust küberturvalisuse riskidest ning jagab kodanikele ja organisatsioonidele mõeldud juhiseid individuaalsete kasutajate heade tavade kohta ning edendab ennetavate tugevate IT turvameetmete kasutuselevõttu ning usaldusväärset andmekaitset ja eraelu puutumatust;

Muudatusettepanek    50

Ettepanek võtta vastu määrus

Artikkel 9 – lõik 1 – punkt g a (uus)

Komisjoni ettepanek

Muudatusettepanek

 

(g a)  toetab liikmesriikidevahelist tihedamat koordineerimist ja parimate tavade vahetamist küberturvalisuse alase hariduse, küberhügieeni ja teadlikkuse valdkonnas;

Muudatusettepanek    51

Ettepanek võtta vastu määrus

Artikkel 10 – lõik 1 – punkt a

Komisjoni ettepanek

Muudatusettepanek

(a)  annab liidule ja liikmesriikidele nõu küberturvalisuse valdkonnas vajalike teadusuuringute ja prioriteetide kohta, et võimaldada tulemuslikku reageerimist praegustele ja tulevastele riskidele ja ohtudele, sealhulgas seoses uue ja kujunemisjärgus info- ja kommunikatsioonitehnoloogiaga, ning riskiennetustehnoloogia tõhusat kasutamist;

(a)  tagab eelneva konsulteerimise asjaomaste kasutajarühmadega ning annab liidule ja liikmesriikidele nõu küberturvalisuse valdkonnas vajalike teadusuuringute ja prioriteetide kohta, et võimaldada tulemuslikku reageerimist praegustele ja tulevastele riskidele ja ohtudele, sealhulgas seoses uue ja kujunemisjärgus info- ja kommunikatsioonitehnoloogiaga, ning riskiennetustehnoloogia tõhusat kasutamist;

Muudatusettepanek    52

Ettepanek võtta vastu määrus

Artikkel 13 – lõige 1

Komisjoni ettepanek

Muudatusettepanek

1.  Haldusnõukogusse kuulub igast liikmesriigist üks esindaja ning kaks komisjoni määratud esindajat. Kõigil esindajatel on hääleõigus.

1.  Haldusnõukogusse kuulub igast liikmesriigist üks esindaja ning kaks komisjoni ja Euroopa Parlamendi määratud esindajat. Kõigil esindajatel on hääleõigus.

Muudatusettepanek    53

Ettepanek võtta vastu määrus

Artikkel 14 – lõige 1 – punkt e

Komisjoni ettepanek

Muudatusettepanek

(e)  annab hinnangu konsolideeritud aastaaruandele ameti tegevuse kohta ja võtab aruande vastu ning saadab nii aruande kui ka hinnangu hiljemalt järgmise aasta 1. juuliks Euroopa Parlamendile, nõukogule, komisjonile ja kontrollikojale. Aastaaruanne hõlmab raamatupidamisaruannet ning selles kirjeldatakse, kuidas amet täitis oma tulemuslikkuse näitajaid. Aastaaruanne avalikustatakse;

(e)  annab hinnangu konsolideeritud aastaaruandele ameti tegevuse kohta ja võtab aruande vastu ning saadab nii aruande kui ka hinnangu hiljemalt järgmise aasta 1. juuliks Euroopa Parlamendile, nõukogule, komisjonile ja kontrollikojale. Aastaaruanne hõlmab raamatupidamisaruannet, selles kirjeldatakse kulude tasuvust ja hinnatakse, kui tõhus amet on olnud ning mil määral täitis amet oma tulemuslikkuse näitajaid. Aastaaruanne avalikustatakse;

Muudatusettepanek    54

Ettepanek võtta vastu määrus

Artikkel 14 – lõige 1 – punkt m

Komisjoni ettepanek

Muudatusettepanek

(m)  nimetab kooskõlas käesoleva määruse artikliga 33 ametisse tegevdirektori ning vajaduse korral pikendab tema ametiaega või tagandab ta ametist;

(m)  nimetab kooskõlas käesoleva määruse artikliga 33 ametisse kutsealaste kriteeriumide põhjal valitud tegevdirektori ning vajaduse korral pikendab tema ametiaega või tagandab ta ametist;

Muudatusettepanek    55

Ettepanek võtta vastu määrus

Artikkel 14 – lõige 1 – punkt o

Komisjoni ettepanek

Muudatusettepanek

(o)  teeb kõik otsused ameti sisestruktuuri loomise ja vajaduse korral selle muutmise kohta, võttes arvesse ameti tegevusega seotud vajadusi ja lähtudes usaldusväärsest eelarvehaldusest;

(o)  teeb kõik otsused ameti sisestruktuuri loomise ja vajaduse korral selle muutmise kohta, võttes arvesse ameti tegevusega seotud vajadusi, nagu on loetletud käesolevas määruses, ja lähtudes usaldusväärsest eelarvehaldusest;

Muudatusettepanek    56

Ettepanek võtta vastu määrus

Artikkel 19 – lõige 2

Komisjoni ettepanek

Muudatusettepanek

2.  Tegevdirektor annab Euroopa Parlamendile selle taotluse korral aru oma ülesannete täitmise kohta. Nõukogu võib kutsuda tegevdirektori oma ülesannete täitmisest aru andma.

2.  Tegevdirektor annab igal aastal Euroopa Parlamendile selle taotluse korral aru oma ülesannete täitmise kohta. Nõukogu võib kutsuda tegevdirektori oma ülesannete täitmisest aru andma.

Muudatusettepanek    57

Ettepanek võtta vastu määrus

Artikkel 20 – lõige 1

Komisjoni ettepanek

Muudatusettepanek

1.  Haldusnõukogu loob tegevdirektori ettepanekul alalise sidusrühma, mis koosneb asjaomaseid sidusrühmi esindavatest tunnustatud ekspertidest, näiteks IKT tööstuse, avalikkusele kättesaadavate elektroonilise side võrkude või teenuste pakkujate ja tarbijarühmade ekspertidest, küberturvalisusega tegelevatest akadeemilistest ekspertidest ning [Euroopa elektroonilise side seadustiku kehtestamise direktiivi] alusel teavitatud riiklike reguleerivate asutuste esindajatest, samuti liidu õiguskaitseasutuste ja andmekaitse järelevalveasutuste esindajatest.

1.  Haldusnõukogu loob tegevdirektori ettepanekul alalise sidusrühma, mis koosneb asjaomaseid sidusrühmi esindavatest tunnustatud ekspertidest, näiteks IKT tööstuse ning avalikkusele kättesaadavate elektroonilise side võrkude või teenuste pakkujate, eelkõige Euroopa IKT tööstuse ja teenuste pakkujate, väikeste ja keskmise suurusega ettevõtjate ühenduste, tarbijarühmade ja -ühenduste ekspertidest, küberturvalisuse valdkonnaga tegelevatest akadeemilistest ekspertidest, Euroopa standardiorganisatsioonide ekspertidest, nagu on määratletud määruse (EL) nr 1025/2012 artikli 2 punktis 8, asjaomaste valdkondlike liidu ametite ja asutuste ekspertidest ning [Euroopa elektroonilise side seadustiku kehtestamise direktiivi] alusel teavitatud riiklike reguleerivate asutuste esindajatest, samuti liidu õiguskaitseasutuste ja andmekaitse järelevalveasutuste esindajatest.

Muudatusettepanek    58

Ettepanek võtta vastu määrus

Artikkel 20 – lõige 4

Komisjoni ettepanek

Muudatusettepanek

4.  Alalise sidusrühma liikmete ametiaeg on kaks ja pool aastat. Haldusnõukogu liige ei või olla alalise sidusrühma liige. Komisjoni ja liikmesriikide ekspertidel on õigus viibida alalise sidusrühma koosolekutel ning osaleda rühma töös. Kui tegevdirektor peab seda asjakohaseks, võib kutsuda alalise sidusrühma koosolekutel ning selle töös osalema teiste asutuste esindajaid, kes ei ole alalise sidusrühma liikmed.

4.  Alalise sidusrühma liikmete ametiaeg on kaks ja pool aastat. Haldusnõukogu ega juhatuse liige, välja arvatud tegevdirektor, ei või olla alalise sidusrühma liige. Komisjoni ja liikmesriikide ekspertidel on õigus viibida alalise sidusrühma koosolekutel ning osaleda rühma töös. Kui tegevdirektor peab seda asjakohaseks, võib kutsuda alalise sidusrühma koosolekutel ning selle töös osalema teiste asutuste esindajaid, kes ei ole alalise sidusrühma liikmed.

Muudatusettepanek    59

Ettepanek võtta vastu määrus

Artikkel 20 – lõige 5

Komisjoni ettepanek

Muudatusettepanek

5.  Alaline sidusrühm nõustab ametit tema ülesannete täitmisel. Eelkõige annab rühm tegevdirektorile soovitusi ameti tööprogrammi ettepaneku koostamiseks ning tagab teabevahetuse asjaomaste sidusrühmadega kõikides tööprogrammiga seotud küsimustes.

5.  Alaline sidusrühm nõustab ametit tema ülesannete täitmisel. Eelkõige annab rühm tegevdirektorile soovitusi ameti tööprogrammi ettepaneku koostamiseks ning tagab teabevahetuse asjaomaste sidusrühmadega kõikides tööprogrammiga seotud küsimustes. Rühm võib teha ka ettepaneku selle kohta, et komisjon paluks ametil koostada Euroopa küberturvalisuse sertifitseerimise ettevalmistavad kavad kooskõlas artikliga 44 kas omal algatusel või pärast taotluste esitamist asjaomaste sidusrühmade poolt.

Muudatusettepanek    60

Ettepanek võtta vastu määrus

Artikkel 20 – lõige 5 a (uus)

Komisjoni ettepanek

Muudatusettepanek

 

5 a.  Alaline sidusrühm nõustab ametit Euroopa küberturvalisuse sertifitseerimise ettevalmistavate kavade koostamisel.

Muudatusettepanek    61

Ettepanek võtta vastu määrus

Artikkel 23 – lõige 2

Komisjoni ettepanek

Muudatusettepanek

2.  Amet tagab üldsusele ja huvitatud isikutele asjakohase, objektiivse, usaldusväärse ja kergesti juurdepääsetava teabe andmise, eelkõige ameti töötulemuste kohta. Ühtlasi avalikustab amet artikli 22 kohaselt esitatud huvide deklaratsioonid.

2.  Amet tagab üldsusele ja huvitatud isikutele asjakohase, objektiivse, usaldusväärse ja kergesti juurdepääsetava teabe andmise, eelkõige ameti arutelude ja töötulemuste kohta. Ühtlasi avalikustab amet artikli 22 kohaselt esitatud huvide deklaratsioonid.

Selgitus

Läbipaistvus peab olema jõustatav, võttes arvesse artikli 24 kohaldamist.

Muudatusettepanek    62

Ettepanek võtta vastu määrus

Artikkel 43 – lõik 1

Komisjoni ettepanek

Muudatusettepanek

Euroopa küberturvalisuse sertifitseerimise kava kinnitab, et selle kava kohaselt sertifitseeritud IKT tooted ja teenused vastavad kirjeldatud nõuetele selles osas, mis puudutab nende võimet pidada teataval usaldusväärsuse tasemel vastu tegevustele, mille eesmärk on rikkuda salvestatud, edastatud või töödeldud andmete või nende toodete, protsesside, teenuste ja süsteemide funktsioonide või nende poolt pakutavate või nende kaudu juurdepääsetavate teenuste käideldavust, autentsust, terviklust või konfidentsiaalsust.

Euroopa küberturvalisuse sertifitseerimise kava luuakse, et tõhustada turvalisuse taset digitaalsel ühtsel turul ja et võtta ELi tasandil vastu Euroopa sertifitseerimise ühtlustatud käsitlus, et tagada küberrünnakutele vastupidavad IKT tooted, teenused ja süsteemid.

Seejuures kinnitatakse, et selle kava kohaselt sertifitseeritud IKT protsessid, tooted ja teenused vastavad kirjeldatud ühistele nõuetele ja omadustele selles osas, mis puudutab nende võimet pidada teataval usaldusväärsuse tasemel vastu tegevustele, mille eesmärk on rikkuda salvestatud, edastatud või töödeldud andmete või nende protsesside, toodete, teenuste ja süsteemide funktsioonide või nende poolt pakutavate või nende kaudu juurdepääsetavate teenuste käideldavust, autentsust, terviklust või konfidentsiaalsust.

Muudatusettepanek    63

Ettepanek võtta vastu määrus

Artikkel 43 a (uus)

Komisjoni ettepanek

Muudatusettepanek

 

Artikkel 43 a

 

Tööprogramm

 

ENISA koostab pärast Euroopa küberturvalisuse sertifitseerimise rühma ja alalise sidusrühmaga konsulteerimist ning pärast komisjonilt heakskiidu saamist tööprogrammi, milles täpsustatakse liidu tasandil võetavaid ühiseid meetmeid, et tagada käesoleva jaotise ühetaoline kohaldamine, ning mis sisaldab selliste IKT toodete ja teenuste prioriteetide nimekirja, mille puhul on komisjoni hinnangul vaja kohaldada Euroopa küberturvalisuse sertifitseerimise kava.

 

Tööprogramm koostatakse hiljemalt [kuus kuud pärast käesoleva määruse jõustumist] ja uus tööprogramm koostatakse seejärel iga kahe aasta tagant. Tööprogramm tehakse üldsusele kättesaadavaks.

Muudatusettepanek    64

Ettepanek võtta vastu määrus

Artikkel 44 – lõige 1

Komisjoni ettepanek

Muudatusettepanek

1.  Komisjoni taotluse põhjal koostab ENISA Euroopa küberturvalisuse sertifitseerimise ettevalmistava kava, mis vastab käesoleva määruse artiklites 45, 46 ja 47 sätestatud tingimustele. Liikmesriigid või artikliga 53 loodud Euroopa küberturvalisuse sertifitseerimise rühm (edaspidi „rühm“) võivad teha komisjonile ettepaneku koostada Euroopa küberturvalisuse sertifitseerimise ettevalmistav kava.

1.  Komisjoni taotluse põhjal koostab ENISA Euroopa küberturvalisuse sertifitseerimise ettevalmistava kava, mis vastab käesoleva määruse artiklites 45, 46 ja 47 sätestatud tingimustele. Liikmesriigid või artikliga 53 loodud Euroopa küberturvalisuse sertifitseerimise rühm (edaspidi „rühm“) või artikliga 20 loodud alaline sidusrühm võivad teha komisjonile ettepaneku koostada Euroopa küberturvalisuse sertifitseerimise ettevalmistav kava.

Muudatusettepanek    65

Ettepanek võtta vastu määrus

Artikkel 44 – lõige 2

Komisjoni ettepanek

Muudatusettepanek

2.  Käesoleva artikli lõikes 1 osutatud ettevalmistavat kava koostades konsulteerib ENISA kõigi asjaomaste sidusrühmadega ja teeb rühmaga tihedat koostööd. Rühm pakub ENISA-le viimase taotluse korral abi ja eksperdinõu seoses ettevalmistava sertifitseerimiskava koostamisega, esitades vajaduse korral ka arvamusi.

2.  Käesoleva artikli lõikes 1 osutatud ettevalmistavat kava koostades konsulteerib ENISA alalise sidusrühmaga, eeskätt Euroopa standardiorganisatsioonidega ja kõigi teiste asjaomaste sidusrühmadega (sealhulgas tarbijaorganisatsioonidega) formaalse, normitud ja läbipaistva protsessi abil, ning teeb rühmaga tihedat koostööd, võttes arvesse juba olemasolevaid riiklikke ja rahvusvahelisi standardeid. Iga ettevalmistava kava koostamisel koostab ENISA riskide ja vastavate küberturvalisuse omaduste kontrollnimekirja.

 

Rühm pakub ENISA-le viimase taotluse korral abi ja eksperdinõu seoses ettevalmistava kava koostamisega, esitades vajaduse korral ka arvamusi.

 

Kui see on asjakohane, võib ENISA luua ka sidusrühmaga konsulteerimise eksperdirühma, mis koosneb alalise sidusrühma liikmetest ja mis tahes muudest asjakohastest sidusrühmadest, kellel on eriteadmised asjaomase ettevalmistava kava valdkonnas, et pakkuda edaspidi nõu ja abi.

Muudatusettepanek    66

Ettepanek võtta vastu määrus

Artikkel 44 – lõige 3

Komisjoni ettepanek

Muudatusettepanek

3.  ENISA edastab käesoleva artikli lõike 2 kohaselt koostatud Euroopa küberturvalisuse sertifitseerimise ettevalmistava kava komisjonile.

3.  ENISA edastab käesoleva artikli lõike 2 kohaselt koostatud Euroopa küberturvalisuse sertifitseerimise ettevalmistava kava komisjonile, kes hindab selle sobivust lõikes 1 osutatud taotluse eesmärkide saavutamiseks.

Muudatusettepanek    67

Ettepanek võtta vastu määrus

Artikkel 44 – lõige 3 a (uus)

Komisjoni ettepanek

Muudatusettepanek

 

3 a.  ENISA hoiab oma käesolevast määrusest tulenevate ülesannete täitmisel saadud kõigi andmete puhul ametisaladust.

Muudatusettepanek    68

Ettepanek võtta vastu määrus

Artikkel 44 – lõige 4

Komisjoni ettepanek

Muudatusettepanek

4.  Komisjon võib ENISA esitatud ettevalmistava kava põhjal võtta kooskõlas artikli 55 lõikega 1 vastu rakendusaktid, millega nähakse ette Euroopa küberturvalisuse sertifitseerimise kavad IKT toodete ja teenuste jaoks, mis vastavad käesoleva määruse artiklite 45, 46 ja 47 nõuetele.

4.  Komisjonile antakse õigus võtta kooskõlas artikliga 55 a vastu delegeeritud õigusakte, milles käsitletakse Euroopa küberturvalisuse sertifitseerimise kavade koostamist IKT toodete ja teenuste jaoks, mis vastavad käesoleva määruse artiklite 45, 46 ja 47 nõuetele. Kõnealuste delegeeritud õigusaktide vastuvõtmisel võtab komisjon IKT toodete ja teenuste küberturvalisuse sertifitseerimise kavade aluseks ENISA esitatud asjaomased ettevalmistavad kavad. Komisjon võib enne delegeeritud õigusaktide vastuvõtmist konsulteerida Euroopa Andmekaitsenõukoguga ja võtta arvesse selle seisukohta.

Muudatusettepanek    69

Ettepanek võtta vastu määrus

Artikkel 44 – lõige 5

Komisjoni ettepanek

Muudatusettepanek

5.  ENISA haldab spetsiaalset veebilehte, mis pakub teavet Euroopa küberturvalisuse sertifitseerimise kavade kohta ja tutvustab neid.

5.  ENISA haldab spetsiaalset veebilehte, mis pakub teavet Euroopa küberturvalisuse sertifitseerimise kavade kohta, sealhulgas teavet kõigi selliste ettevalmistatud kavade kohta, mida komisjon on palunud ENISA-l koostada, ja tutvustab neid.

Muudatusettepanek    70

Ettepanek võtta vastu määrus

Artikkel 45 – lõik 1 – sissejuhatav osa

Komisjoni ettepanek

Muudatusettepanek

Euroopa küberturvalisuse sertifitseerimise kava peab olema koostatud nii, et võtta vajaduse korral arvesse järgmisi turvalisusega seotud eesmärke:

Iga Euroopa küberturvalisuse sertifitseerimise kava peab olema koostatud nii, et võtta arvesse vähemalt järgmisi turvalisusega seotud eesmärke, kuivõrd need on asjakohased:

Muudatusettepanek    71

Ettepanek võtta vastu määrus

Artikkel 45 – lõik 1 – punkt g

Komisjoni ettepanek

Muudatusettepanek

(g)  tagada, et IKT tooteid ja teenuseid pakutakse ajakohastatud tarkvaraga, mis ei sisalda teadaolevaid turvaauke, ning et olemas on mehhanismid turvaliseks tarkvara uuendamiseks.

(g)  tagada, et IKT tooteid ja teenuseid pakutakse ajakohastatud tark- ja riistvaraga, mis ei sisalda teadaolevaid turvaauke; tagada, et need on projekteeritud ja rakendatud nii, et piirata tulemuslikult vastuvõtlikkust turvaaukudele, ning tagada, et olemas on mehhanismid turvaliseks tarkvara uuendamiseks, sealhulgas riistvara uuendamine ja automaatsed turvauuendused;

Muudatusettepanek    72

Ettepanek võtta vastu määrus

Artikkel 45 – lõik 1 – punkt g a (uus)

Komisjoni ettepanek

Muudatusettepanek

 

(g a)  tagada, et IKT tooted ja teenused töötatakse välja ja neid käitatakse sellise viisil, et küberturvalisuse ja andmekaitse kõrge tase on eelkonfigureeritud kooskõlas sisseprojekteeritud turbe põhimõttega.

Muudatusettepanek    73

Ettepanek võtta vastu määrus

Artikkel 46 – lõige 1

Komisjoni ettepanek

Muudatusettepanek

1.  Euroopa küberturvalisuse sertifitseerimise kavas määratakse selle kava raames sertifitseeritud IKT toodetele ja teenustele üks või mitu järgmist usaldusväärsuse taset: baastase, märkimisväärne ja/või kõrge tase.

1.  Igas Euroopa küberturvalisuse sertifitseerimise kavas määratakse selle kava raames sertifitseeritud IKT toodetele ja teenustele üks või mitu järgmist riskipõhist usaldusväärsuse taset: „funktsionaalselt turvaline“; „märkimisväärselt turvaline“ ja/või „üliturvaline“.

 

Iga Euroopa küberturvalisuse sertifitseerimise ettevalmistava kava usaldusväärsuse tase määratakse kindlaks artikli 44 lõike 2 alusel koostatud kontrollnimekirjas määratud riskide põhjal ning nende küberturvalisuse omaduste alusel, mis on kättesaadavad selliste riskide kõrvaldamiseks IKT toodetes ja teenustes, mille suhtes sertifitseerimiskava kohaldatakse.

Muudatusettepanek    74

Ettepanek võtta vastu määrus

Artikkel 46 – lõige 1 a (uus)

Komisjoni ettepanek

Muudatusettepanek

 

1 a.  Igas kavas osutatakse hindamismetoodikale või hindamisprotsessile, mida tuleb iga usaldusväärsuse taseme sertifikaatide väljastamisel järgida, olenevalt selles kavas hõlmatud IKT toodete ja teenuste kasutusotstarbest ja neile omasest riskist.

Muudatusettepanek    75

Ettepanek võtta vastu määrus

Artikkel 46 – lõige 2 – sissejuhatav osa

Komisjoni ettepanek

Muudatusettepanek

2.  Baastase, märkimisväärne ja kõrge usaldusväärsuse tase vastavad järgmistele tingimustele:

2.  „Funktsionaalselt turvaline“, „märkimisväärselt turvaline“ ja „üliturvaline“ tase vastavad järgmistele tingimustele:

Muudatusettepanek    76

Ettepanek võtta vastu määrus

Artikkel 46 – lõige 2 – punkt a

Komisjoni ettepanek

Muudatusettepanek

(a)  usaldusväärsuse baastase osutab Euroopa küberturvalisuse sertifitseerimise kava raames väljastatud sertifikaadile, mis annab piiratud usalduse IKT toote või teenuse väidetavate või kinnitatud küberturvalisuse omaduste vastu ning mille kirjeldamisel osutatakse sellega seotud tehnilistele kirjeldustele, standarditele ja menetlustele, sealhulgas tehnilisele kontrollile, mille eesmärk on vähendada küberturvalisuse intsidentide riski;

(a)  usaldusväärsuse tase „funktsionaalselt turvaline“ osutab Euroopa küberturvalisuse sertifitseerimise kava raames väljastatud sertifikaadile, mis annab piisava usalduse IKT toote või teenuse väidetavate või kinnitatud küberturvalisuse omaduste vastu ning mille kirjeldamisel osutatakse sellega seotud tehnilistele kirjeldustele, standarditele ja menetlustele, sealhulgas tehnilisele kontrollile, mille eesmärk on vähendada küberturvalisuse intsidentide riski;

Muudatusettepanek    77

Ettepanek võtta vastu määrus

Artikkel 46 – lõige 2 – punkt b

Komisjoni ettepanek

Muudatusettepanek

(b)  märkimisväärne usaldusväärsuse tase osutab Euroopa küberturvalisuse sertifitseerimise kava raames väljastatud sertifikaadile, mis annab märkimisväärse usalduse IKT toote või teenuse väidetavate või kinnitatud küberturvalisuse omaduste vastu ning mille kirjeldamisel osutatakse sellega seotud tehnilistele kirjeldustele, standarditele ja menetlustele, sealhulgas tehnilisele kontrollile, mille eesmärk on vähendada märkimisväärselt küberturvalisuse intsidentide riski;

(b)  usaldusväärsuse tase „märkimisväärselt turvaline“ osutab Euroopa küberturvalisuse sertifitseerimise kava raames väljastatud sertifikaadile, mis annab märkimisväärse usalduse IKT protsessi, toote või teenuse väidetavate või kinnitatud küberturvalisuse omaduste vastu ning mille kirjeldamisel osutatakse sellega seotud tehnilistele kirjeldustele, standarditele ja menetlustele, sealhulgas tehnilisele kontrollile, mille eesmärk on vähendada märkimisväärselt küberturvalisuse intsidentide riski;

Muudatusettepanek    78

Ettepanek võtta vastu määrus

Artikkel 46 – lõige 2 – punkt c

Komisjoni ettepanek

Muudatusettepanek

(c)  kõrge usaldusväärsuse tase osutab Euroopa küberturvalisuse sertifitseerimise kava raames väljastatud sertifikaadile, mis annab kõrgema usalduse IKT toote või teenuse väidetavate või kinnitatud küberturvalisuse omaduste vastu kui märkimisväärse usaldusväärsuse tasemega sertifikaat ning mille kirjeldamisel osutatakse sellega seotud tehnilistele kirjeldustele, standarditele ja menetlustele, sealhulgas tehnilisele kontrollile, mille eesmärk on vältida küberturvalisuse intsidente.

(c)  usaldusväärsuse tase „üliturvaline“ osutab Euroopa küberturvalisuse sertifitseerimise kava raames väljastatud sertifikaadile, mis annab kõrgema usalduse IKT protsessi, toote või teenuse väidetavate või kinnitatud küberturvalisuse omaduste vastu kui usaldusväärsuse tasemega „märkimisväärselt turvaline“ sertifikaat ning mille kirjeldamisel osutatakse sellega seotud tehnilistele kirjeldustele, standarditele ja menetlustele, sealhulgas tehnilisele kontrollile, mille eesmärk on vältida küberturvalisuse intsidente. Seda kohaldatakse eelkõige oluliste teenuste operaatorite kasutuseks mõeldud toodete ja teenuste suhtes, nagu see on määratletud direktiivi 2016/1148/EL artikli 4 lõikes 4.

Muudatusettepanek    79

Ettepanek võtta vastu määrus

Artikkel 47 – lõige 1 – sissejuhatav osa

Komisjoni ettepanek

Muudatusettepanek

1.  Euroopa küberturvalisuse sertifitseerimise kava sisaldab järgmisi elemente:

1.  Iga Euroopa küberturvalisuse sertifitseerimise kava sisaldab vajaduse korral vähemalt järgmisi elemente:

Muudatusettepanek    80

Ettepanek võtta vastu määrus

Artikkel 47 – lõige 1 – punkt a

Komisjoni ettepanek

Muudatusettepanek

(a)  sertifitseerimise sisu ja ulatus, sealhulgas hõlmatud IKT toodete ja teenuste liik või kategooria;

(a)  sertifitseerimise kava sisu ja ulatus, sealhulgas kõik hõlmatud konkreetsed sektorid, ning hõlmatud IKT toodete ja teenuste liik või kategooria;

Muudatusettepanek    81

Ettepanek võtta vastu määrus

Artikkel 47 – lõige 1 –punkt b

Komisjoni ettepanek

Muudatusettepanek

(b)  konkreetsete IKT toodete ja teenuste puhul hinnatavate küberturvalisuse nõuete üksikasjalik kirjeldus , näiteks viidates liidu või rahvusvahelistele standarditele või tehnilistele kirjeldustele;

(b)  konkreetsete IKT toodete ja teenuste puhul hinnatavate küberturvalisuse nõuete üksikasjalik kirjeldus, näiteks viidates eelkõige rahvusvahelistele, Euroopa või riiklikele standarditele või tehnilistele kirjeldustele;

Muudatusettepanek    82

Ettepanek võtta vastu määrus

Artikkel 47 – lõige 1 – punkt b a (uus)

Komisjoni ettepanek

Muudatusettepanek

 

(b a)  üksikasjalik kirjeldus selle kohta, kas väljastatud sertifikaati saab kohaldada üksnes üksiktoote või tooteseeria suhtes (näiteks sama alusstruktuuriga toote erinevad versioonid/mudelid);

Muudatusettepanek    83

Ettepanek võtta vastu määrus

Artikkel 47 – lõige 1 – punkt c a (uus)

Komisjoni ettepanek

Muudatusettepanek

 

(c a)  teave selle kohta, kas ettevõtja kinnitus vastavuse kohta on kava raames lubatud, ja vastavushindamise või ettevõtja vastavuskinnituse või mõlema suhtes kohaldatav menetlus;

Muudatusettepanek    84

Ettepanek võtta vastu määrus

Artikkel 47 – lõige 1 – punkt c b (uus)

Komisjoni ettepanek

Muudatusettepanek

 

(c b)  sertifitseerimisnõuded, mis on kindlaks määratud nii, et asjaomase sertifitseerimise saab lisada tootja süstemaatilistesse küberturvalisuse protsessidesse, mida järgitakse IKT protsessi, toote või teenuse projekteerimisel, väljatöötamisel ja olelusringi vältel, või see võib nendel põhineda;

Muudatusettepanek    85

Ettepanek võtta vastu määrus

Artikkel 47 – lõige 1 – punkt f

Komisjoni ettepanek

Muudatusettepanek

(f)  kui kava näeb ette märgi või märgistuse, tingimused sellise märgi või märgistuse kasutamiseks;

(f)  kui kava näeb ette märgi või märgistuse, näiteks ELi küberturvalisuse vastavusmärgise, mis tähendab, et IKT protsess, toode või teenus vastab kava kriteeriumidele, tingimused sellise märgi või märgistuse kasutamiseks;

Muudatusettepanek    86

Ettepanek võtta vastu määrus

Artikkel 47 – lõige 1 – punkt g

Komisjoni ettepanek

Muudatusettepanek

(g)  kui kava osaks on järelevalve, eeskirjad sertifikaatide nõuete täitmise kontrollimiseks, sealhulgas mehhanismid tõestamaks konkreetsete küberturvalisuse nõuete jätkuvat täitmist;

(g)  eeskirjad sertifikaatide nõuete täitmise kontrollimiseks, sealhulgas mehhanismid tõestamaks konkreetsete küberturvalisuse nõuete jätkuvat täitmist, näiteks vajaduse ja teostatavuse korral asjaomase IKT protsessi, toote või teenuse kohustuslik ajakohastamine, uuendus või paigad;

Muudatusettepanek    87

Ettepanek võtta vastu määrus

Artikkel 47 – lõige 1 – punkt h

Komisjoni ettepanek

Muudatusettepanek

(h)  tingimused sertifitseerimise võimaldamiseks, säilitamiseks, jätkamiseks ning sertifitseerimise ulatuse laiendamiseks ja vähendamiseks;

(h)  tingimused sertifitseerimise võimaldamiseks, säilitamiseks, jätkamiseks ja uuendamiseks ning sertifitseerimise ulatuse laiendamiseks ja vähendamiseks;

Muudatusettepanek    88

Ettepanek võtta vastu määrus

Artikkel 47 – lõige 1 – punkt i

Komisjoni ettepanek

Muudatusettepanek

(i)  eeskirjad sertifitseeritud IKT toodete ja teenuste sertifitseerimistingimustele mittevastavuse tagajärgede kohta;

(i)  eeskirjad sertifitseeritud IKT toodete ning teenuste sertifitseerimistingimustele mittevastavuse tagajärgede kohta ning üldine teave käesoleva määruse artiklis 54 sätestatud karistuste kohta;

Muudatusettepanek    89

Ettepanek võtta vastu määrus

Artikkel 47 – lõige 1 – punkt j

Komisjoni ettepanek

Muudatusettepanek

(j)  eeskirjad selle kohta, kuidas tuleks IKT toodete ja teenuste varem avastamata küberturvalisuse nõrkustest teada anda ja kuidas neid menetleda;

(j)  eeskirjad selle kohta, kuidas tuleks IKT toodete ja teenuste varem avastamata küberturvalisuse nõrkustest teada anda ja kuidas neid menetleda, sealhulgas nõrkuste avalikustamise koordineeritud protsesside abil;

Muudatusettepanek    90

Ettepanek võtta vastu määrus

Artikkel 47 – lõige 1 – punkt l

Komisjoni ettepanek

Muudatusettepanek

(l)  sama liiki või kategooriasse kuuluvaid IKT tooteid või teenuseid hõlmavate riiklike küberturvalisuse sertifitseerimise kavade kindlakstegemine;

(l)  sama liiki või kategooriasse kuuluvaid IKT tooteid või teenuseid hõlmavate riiklike või rahvusvaheliste küberturvalisuse sertifitseerimise kavade või olemasolevate rahvusvaheliste vastastikuse tunnustamise lepingute kindlakstegemine;

Muudatusettepanek    91

Ettepanek võtta vastu määrus

Artikkel 47 – lõige 1 – punkt m a (uus)

Komisjoni ettepanek

Muudatusettepanek

 

(m a)  sertifikaatide maksimaalne kehtivusaeg;

Muudatusettepanek    92

Ettepanek võtta vastu määrus

Artikkel 47 – lõige 1 – punkt m b (uus)

Komisjoni ettepanek

Muudatusettepanek

 

(m b)  usaldusväärsuse üliturvalise turvalisuse taseme vastupanu- ja vastupidavuskatsed.

Muudatusettepanek    93

Ettepanek võtta vastu määrus

Artikkel 47 – lõige 3

Komisjoni ettepanek

Muudatusettepanek

3.  Kui konkreetses liidu õigusaktis on nii sätestatud, võib Euroopa küberturvalisuse sertifitseerimise kava kohast sertifitseerimist kasutada tõendamaks kõnealuse õigusakti nõuetele vastavuse eeldust.

3.  Kui konkreetses tulevases liidu õigusaktis on nii sätestatud, võib Euroopa küberturvalisuse sertifitseerimise kava kohast sertifitseerimist kasutada tõendamaks kõnealuse õigusakti nõuetele vastavuse eeldust.

Muudatusettepanek    94

Ettepanek võtta vastu määrus

Artikkel 48 – lõige 2

Komisjoni ettepanek

Muudatusettepanek

2.  Sertifitseerimine on vabatahtlik, kui liidu õigusnormides ei ole sätestatud teisiti.

2.  Sertifitseerimine Euroopa küberturvalisuse sertifitseerimise kava raames on kohustuslik kõrge riskiastmega IKT toodete ja teenuste puhul, mis on mõeldud spetsiaalselt oluliste teenuste operaatorite kasutuseks, nagu see on määratletud direktiivi 2016/1148/EL artikli 4 lõikes 4. Kõigi teiste IKT toodete ja teenuste puhul on sertifitseerimine vabatahtlik, kui liidu õigusnormides ei ole sätestatud teisiti.

Muudatusettepanek    95

Ettepanek võtta vastu määrus

Artikkel 48 – lõige 3

Komisjoni ettepanek

Muudatusettepanek

3.  Käesoleva artikli kohase Euroopa küberturvalisuse sertifikaadi annavad välja artiklis 51 osutatud vastavushindamisasutused artikli 44 kohaselt vastu võetud Euroopa küberturvalisuse sertifitseerimise kavas sisalduvate kriteeriumide alusel.

3.  Käesoleva artikli kohaseid Euroopa küberturvalisuse sertifikaate annavad välja artiklis 51 osutatud vastavushindamisasutused artikli 44 kohaselt vastu võetud Euroopa küberturvalisuse sertifitseerimise kavas sisalduvate kriteeriumide alusel.

 

Vastavushindamisasutuste sertifitseerimise alternatiivina võivad toote tootjad ja teenuste pakkujad esitada juhul, kui selline võimalus on ette nähtud, ettevõtja kinnituse vastavuse kohta, milles nad kinnitavad, et protsess, toode või teenus vastab sertifitseerimise kava kriteeriumidele. Sellistel juhtudel peab toote tootja või teenuste pakkuja esitama riikliku järelevalveasutuse ja ENISA taotlusel neile ettevõtja kinnituse vastavuse kohta.

Muudatusettepanek    96

Ettepanek võtta vastu määrus

Artikkel 48 – lõige 4 – sissejuhatav osa

Komisjoni ettepanek

Muudatusettepanek

4.  Erandina lõikest 3 võib nõuetekohaselt põhjendatud juhtudel teatavas Euroopa küberturvalisuse sertifitseerimise kavas ette näha, et sellest kavast tuleneva Euroopa küberturvalisuse sertifikaadi võib välja anda üksnes avalik-õiguslik asutus. Selline avalik-õiguslik asutus on üks järgnevatest asutustest:

4.  Erandina lõikest 3 võib nõuetekohaselt põhjendatud juhtudel, näiteks riikliku julgeoleku kaalutlustel, teatavas Euroopa küberturvalisuse sertifitseerimise kavas ette näha, et sellest kavast tuleneva Euroopa küberturvalisuse sertifikaadi võib välja anda üksnes avalik-õiguslik asutus. Selline avalik-õiguslik asutus on üks järgnevatest asutustest:

Muudatusettepanek    97

Ettepanek võtta vastu määrus

Artikkel 48 – lõige 5

Komisjoni ettepanek

Muudatusettepanek

5.  Füüsiline või juriidiline isik, kes esitab oma IKT tooted või teenused sertifitseerimiseks, peab esitama artiklis 51 osutatud vastavushindamisasutusele kogu sertifitseerimismenetluse läbiviimiseks vajaliku teabe.

5.  Füüsiline või juriidiline isik, kes esitab oma IKT tooted või teenused sertifitseerimiseks, peab esitama artiklis 51 osutatud vastavushindamisasutusele kogu sertifitseerimismenetluse läbiviimiseks vajaliku teabe, sealhulgas teabe iga teadaoleva turvaaugu kohta.

Muudatusettepanek    98

Ettepanek võtta vastu määrus

Artikkel 48 – lõige 6

Komisjoni ettepanek

Muudatusettepanek

6.  Sertifikaat antakse maksimaalselt kolmeks aastaks ja selle kehtivust võib pikendada samadel tingimustel senikaua, kuni asjakohased nõuded on täidetud.

6.  Sertifikaat antakse igas küberturvalisuse sertifitseerimise kavas sätestatud maksimaalseks ajaks, mille jooksul see ka kehtib ning selle kehtivust võib pikendada samadel tingimustel senikaua, kuni kõnealuse kava nõuded, sealhulgas mis tahes läbivaadatud või muudetud nõuded on täidetud.

Muudatusettepanek    99

Ettepanek võtta vastu määrus

Artikkel 48 – lõige 6 a (uus)

Komisjoni ettepanek

Muudatusettepanek

 

6 a.  Sertifikaat jääb kehtima protsessi, toote või teenuse kõigi uute versioonide korral, kui uue versiooni peamine põhjus on teadaolevate või potentsiaalsete turvanõrkuste või -ohtude paikamine, parandamine või muul viisil kõrvaldamine.

Muudatusettepanek    100

Ettepanek võtta vastu määrus

Artikkel 49 – lõige 1

Komisjoni ettepanek

Muudatusettepanek

1.  Ilma et see piiraks lõike 3 kohaldamist, lõpeb riiklike küberturvalisuse sertifitseerimise kavade ja Euroopa küberturvalisuse sertifitseerimise kavaga hõlmatud IKT toodete ja teenustega seotud menetluste õiguslik toime artikli 44 lõike 4 kohaselt vastu võetud rakendusaktis sätestatud kuupäeval. Olemasolevad riiklikud küberturvalisuse sertifitseerimise kavad ja Euroopa küberturvalisuse sertifitseerimise kavaga hõlmamata IKT toodete ja teenustega seotud menetlused jäävad alles.

1.  Ilma et see piiraks lõike 3 kohaldamist, lõpeb riiklike küberturvalisuse sertifitseerimise kavade ja Euroopa küberturvalisuse sertifitseerimise kavaga hõlmatud IKT toodete ja teenustega seotud menetluste õiguslik toime artikli 44 lõike 4 kohaselt vastu võetud delegeeritud õigusaktis sätestatud kuupäeval. Komisjon jälgib käesoleva lõigu sätete järgimist, et hoida ära konkureerivate kavade eksisteerimise. Olemasolevad riiklikud küberturvalisuse sertifitseerimise kavad ja Euroopa küberturvalisuse sertifitseerimise kavaga hõlmamata IKT toodete ja teenustega seotud menetlused jäävad alles.

Muudatusettepanek    101

Ettepanek võtta vastu määrus

Artikkel 49 – lõige 3

Komisjoni ettepanek

Muudatusettepanek

3.  Riiklike küberturvalisuse sertifitseerimise kavade alusel väljastatud sertifikaadid jäävad kehtima kuni oma kehtivusaja lõpuni.

3.  Euroopa küberturvalisuse sertifitseerimise kavaga hõlmatud riiklike küberturvalisuse sertifitseerimise kavade alusel väljastatud sertifikaadid jäävad kehtima kuni oma kehtivusaja lõpuni.

Muudatusettepanek    102

Ettepanek võtta vastu määrus

Artikkel 50 – lõige 3

Komisjoni ettepanek

Muudatusettepanek

3.  Iga riiklik sertifitseerimise järelevalveasutus on oma organisatsiooni, rahastamisotsuste, õigusliku struktuuri ja otsuste tegemise poolest sõltumatu üksustest, mille üle ta järelevalvet teostab.

3.  Iga riiklik sertifitseerimise järelevalveasutus on oma organisatsiooni, rahastamisotsuste, õigusliku struktuuri ja otsuste tegemise poolest sõltumatu üksustest, mille üle ta järelevalvet teostab, ning ta ei või olla vastavushindamisasutus ega riiklik akrediteerimisasutus.

Muudatusettepanek    103

Ettepanek võtta vastu määrus

Artikkel 50 – lõige 6 – punkt a

Komisjoni ettepanek

Muudatusettepanek

(a)  jälgivad käesoleva jaotise sätete kohaldamist riiklikul tasandil ja tagavad nende täitmise ning teevad järelevalvet nende riigi territooriumil asutatud vastavushindamisasutuse poolt välja antud sertifikaatide vastavuse üle käesolevas jaotises ja vastavas Euroopa küberturvalisuse sertifikaadi kavas sätestatud nõuetele;

(a)  jälgivad käesoleva jaotise sätete kohaldamist riiklikul tasandil ja tagavad nende täitmise kooskõlas eeskirjadega, mille Euroopa küberturvalisuse sertifitseerimise rühm on võtnud vastu vastavalt artikli 53 lõike 3 punktile d a, ning teevad järelevalvet:

 

i)  nende riigi territooriumil asutatud vastavushindamisasutuse poolt välja antud sertifikaatide vastavuse üle käesolevas jaotises ja vastavas Euroopa küberturvalisuse sertifitseerimise kavas sätestatud nõuetele, ning

 

ii)  ettevõtja kinnituste üle vastavuse kohta, mis on kava kohaselt esitatud IKT protsessi, toote või teenuse puhul;

Muudatusettepanek    104

Ettepanek võtta vastu määrus

Artikkel 50 – lõige 6 – punkt b

Komisjoni ettepanek

Muudatusettepanek

(b)  jälgivad ja kontrollivad vastavushindamisasutuste tegevust käesoleva määruse kohaldamisel, sealhulgas seoses käesoleva määruse artiklis 52 sätestatud vastavushindamisasutustest teavitamise ja sellega seotud ülesannetega;

(b)  jälgivad, kontrollivad ja vähemalt iga kahe aasta järel hindavad vastavushindamisasutuste tegevust käesoleva määruse kohaldamisel, sealhulgas seoses käesoleva määruse artiklis 52 sätestatud vastavushindamisasutustest teavitamise ja sellega seotud ülesannetega;

Muudatusettepanek    105

Ettepanek võtta vastu määrus

Artikkel 50 – lõige 6 – punkt c

Komisjoni ettepanek

Muudatusettepanek

(c)  käsitlevad füüsiliste või juriidiliste isikute esitatud kaebusi seoses nende riigi territooriumil asutatud vastavushindamisasutuste väljastatud sertifikaatidega, uurivad asjakohasel määral kaebuse sisu ja teavitavad kaebuse esitajat mõistliku aja jooksul uurimise käigust ja tulemusest;

(c)  käsitlevad füüsiliste või juriidiliste isikute esitatud kaebusi seoses nende riigi territooriumil asutatud vastavushindamisasutuste väljastatud sertifikaatide või ettevõtjate esitatud kinnitustega vastavuse kohta, uurivad asjakohasel määral kaebuse sisu ja teavitavad kaebuse esitajat mõistliku aja jooksul uurimise käigust ja tulemusest;

Muudatusettepanek    106

Ettepanek võtta vastu määrus

Artikkel 50 – lõige 6 – punkt c a (uus)

Komisjoni ettepanek

Muudatusettepanek

 

(c a)  esitavad ENISA-le ja Euroopa küberturvalisuse sertifitseerimise rühmale aruanded punktis a nimetatud järelevalve ja punktides b ja c nimetatud hindamiste tulemuste kohta;

Muudatusettepanek    107

Ettepanek võtta vastu määrus

Artikkel 50 – lõige 6 – punkt d

Komisjoni ettepanek

Muudatusettepanek

(d)  teevad koostööd teiste riiklike sertifitseerimise järelevalveasutuste või muude avaliku sektori asutusega, sealhulgas jagades teavet IKT toodete ja teenuste võimaliku mittevastavuse kohta käesoleva määruse või konkreetsete Euroopa küberturvalisuse sertifitseerimise kavade nõuetele;

(d)  teevad koostööd teiste riiklike sertifitseerimise järelevalveasutuste , riiklike akrediteerimisasutuste või muude avaliku sektori asutusega, sealhulgas jagades teavet IKT toodete ja teenuste võimaliku mittevastavuse kohta käesoleva määruse või konkreetsete Euroopa küberturvalisuse sertifitseerimise kavade nõuetele, sealhulgas sertifitseerimist puudutavate eksitavate, valede või võltsitud väidete kohta;

Muudatusettepanek    108

Ettepanek võtta vastu määrus

Artikkel 50 – lõige 7 – punkt c a (uus)

Komisjoni ettepanek

Muudatusettepanek

 

(c a)  tunnistada kehtetuks selliste vastavushindamisasutuste akrediteerimine, kes ei vasta käesoleva määruse nõuetele;

Muudatusettepanek    109

Ettepanek võtta vastu määrus

Artikkel 50 – lõige 7 – punkt e

Komisjoni ettepanek

Muudatusettepanek

(e)  võtta siseriiklike õigusaktide kohaselt tagasi sertifikaadid, mis ei ole kooskõlas käesoleva määrusega või Euroopa küberturvalisuse sertifitseerimise kavaga;

(e)  võtta siseriiklike õigusaktide kohaselt tagasi sertifikaadid, mis ei ole kooskõlas käesoleva määrusega või Euroopa küberturvalisuse sertifitseerimise kavaga, ning teavitada sellest riiklikke akrediteerimisasutusi;

Muudatusettepanek    110

Ettepanek võtta vastu määrus

Artikkel 50 – lõige 7 – punkt f a (uus)

Komisjoni ettepanek

Muudatusettepanek

 

(f a)  teha ettepanekuid ENISA ekspertide kohta, kes võiksid kuuluda artikli 44 lõikes 2 osutatud sõltumatu eksperdirühma koosseisu.

Muudatusettepanek    111

Ettepanek võtta vastu määrus

Artikkel 50 – lõige 8 – lõik 1 a (uus)

Komisjoni ettepanek

Muudatusettepanek

 

Teabevahetuse eesmärgil teeb komisjon kättesaadavaks üldise elektroonilise teabe tugisüsteemi.

Muudatusettepanek    112

Ettepanek võtta vastu määrus

Artikkel 50 a (uus)

Komisjoni ettepanek

Muudatusettepanek

 

Artikkel 50 a

 

Vastastikune eksperdihinnang

 

1.  Riiklikud sertifitseerimise järelevalveasutused hindavad vastastikku käesoleva määruse artikli 50 kohaselt toimuvat tegevust.

 

2.  Vastastikune eksperdihinnang hõlmab riiklike sertifitseerimise järelevalveasutuste kehtestatud menetluste hindamist, eeskätt selliste menetluste puhul, mille abil kontrollitakse küberturvalisuse sertifitseerimisele kuuluvate toodete nõuetele vastavust, töötajate pädevust, kontrollide ja inspekteerimismetoodika õigsust ning tulemuste õigsust. Vastastikuse eksperdihinnangu raames hinnatakse ka seda, kas riiklikel sertifitseerimise järelevalveasutustel on piisavad vahendid oma ülesannete nõuetekohaseks täitmiseks, nagu nõutakse artikli 50 lõikes 4.

 

3.  Riiklike sertifitseerimise järelevalveasutuste vastastikust eksperdihinnangut teostavad vähemalt kord iga viie aasta järel kahe teise liikmesriigi sertifitseerimise järelevalveasutused ja komisjon. ENISA võib vastastikuses eksperdihinnangus osaleda, kui ta riskianalüüsi põhjal nii otsustab.

 

4.  Komisjonil on õigus võtta kooskõlas artikliga 55 a vastu delegeeritud õigusakte, et kehtestada vastastikuste eksperdihinnangute kava vähemalt viieks aastaks, sätestades selles vastastikuse eksperdihinnangu meeskonna koosseisu kriteeriumid, hindamismetoodika, hindamiste ajakava, sageduse ja muud vastastikuse eksperdihinnanguga seotud ülesanded. Nende delegeeritud õigusaktide vastuvõtmisel võtab komisjon nõuetekohaselt arvesse rühma arvamusi.

 

5.  Vastastikuse eksperdihinnangu tulemusi kontrollib rühm. ENISA koostab tulemuste kokkuvõtte ja avalikustab selle.

Muudatusettepanek    113

Ettepanek võtta vastu määrus

Artikkel 51 – lõige 2 a (uus)

Komisjoni ettepanek

Muudatusettepanek

 

2 a.  Kui tootjad otsustavad esitada käesoleva määruse artikli 48 lõike 3 kohase ettevõtja kinnituse vastavuse kohta, võtavad vastavushindamisasutused lisameetmeid, et kontrollida, milliseid ettevõttesiseseid menetlusi tootjad kasutasid selle tagamiseks, et nende tooted ja/või teenused vastaksid Euroopa küberturvalisuse sertifitseerimise kava nõuetele.

Muudatusettepanek    114

Ettepanek võtta vastu määrus

Artikkel 53 – lõige 3 – punkt d a (uus)

Komisjoni ettepanek

Muudatusettepanek

 

(d a)  võtta vastu siduvad eeskirjad, millega määratakse kindlaks, kui sageli peavad riiklikud sertifitseerimise järelevalveasutused sertifikaate ja ettevõtjate vastavuskinnitusi kontrollima, ja selliste kontrollide kriteeriumid, ulatus ja kohaldamisala, ning võtta artikli 50 lõike 6 kohaselt vastu ühised aruandlusnormid ja -eeskirjad;

Muudatusettepanek    115

Ettepanek võtta vastu määrus

Artikkel 53 – lõige 3 – punkt e

Komisjoni ettepanek

Muudatusettepanek

(e)  analüüsida küberturvalisuse sertifitseerimise valdkonna asjakohaseid arenguid ja vahetada häid tavasid seoses küberturvalisuse sertifitseerimise kavadega;

(e)  analüüsida küberturvalisuse sertifitseerimise valdkonna asjakohaseid arenguid ning vahetada teavet ja häid tavasid seoses küberturvalisuse sertifitseerimise kavadega;

Muudatusettepanek    116

Ettepanek võtta vastu määrus

Artikkel 53 – lõige 3 – punkt f a (uus)

Komisjoni ettepanek

Muudatusettepanek

 

(f a)  vahetada parimaid tavasid seoses vastavushindamisasutuste, Euroopa küberturvalisuse sertifikaadi omanike ning tootjate ja teenusepakkujate uurimistega, kes on esitanud ettevõtja kinnitused vastavuse kohta;

Muudatusettepanek    117

Ettepanek võtta vastu määrus

Artikkel 53 – lõige 3 – punkt f b (uus)

Komisjoni ettepanek

Muudatusettepanek

 

(f b)  soodustada Euroopa küberturvalisuse sertifitseerimise kavade ühtlustamist rahvusvaheliselt tunnustatud standarditega ning, kui see on asjakohane, soovitada ENISA-le valdkondi, kus ta peaks tegema koostööd asjaomaste rahvusvaheliste ja Euroopa standardiorganisatsioonidega, et kõrvaldada rahvusvaheliselt tunnustatud standardite puudused või lüngad;

Muudatusettepanek    118

Ettepanek võtta vastu määrus

Artikkel 53 – lõige 3 – punkt f c (uus)

Komisjoni ettepanek

Muudatusettepanek

 

(f c)  artiklis 43 a osutatud tööprogrammi koostamisel anda ENISA-le nõu selliste IKT toodete ja teenuste prioriteetide nimekirja kohta, mille suhtes ta peab vajalikuks kohaldada Euroopa küberturvalisuse sertifitseerimise kava;

Muudatusettepanek    119

Ettepanek võtta vastu määrus

Artikkel 53 – lõige 4 – lõik 1 a (uus)

Komisjoni ettepanek

Muudatusettepanek

 

ENISA tagab, et rühma iga koosoleku järel koosoleku kava, päevakord ja vastuvõetud otsused registreeritakse ning nende dokumentide avaldatud versioonid tehakse ENISA veebisaidil üldsusele kättesaadavaks.

Muudatusettepanek    120

Ettepanek võtta vastu määrus

Artikkel 55 a (uus)

Komisjoni ettepanek

Muudatusettepanek

 

Artikkel 55 a

 

Delegeeritud volituste rakendamine

 

Komisjonile antakse õigus võtta vastu delegeeritud õigusakte käesolevas artiklis sätestatud tingimustel.

 

Artikli 44 lõikes 4 ja artikli 50 a lõikes 4 osutatud õigus võtta vastu delegeeritud õigusakte antakse komisjonile viieks aastaks alates [alusõigusakti jõustumise kuupäev]. Komisjon esitab delegeeritud volituste kohta aruande hiljemalt üheksa kuud enne viieaastase tähtaja möödumist. Volituste delegeerimist pikendatakse automaatselt samaks ajavahemikuks, välja arvatud juhul, kui Euroopa Parlament või nõukogu esitab selle suhtes vastuväite hiljemalt kolm kuud enne iga ajavahemiku lõppemist.

 

Euroopa Parlament ja nõukogu võivad artikli 44 lõikes 4 ja artikli 50 a lõikes 4 osutatud volituste delegeerimise igal ajal tagasi võtta. Tagasivõtmise otsusega lõpetatakse otsuses nimetatud volituste delegeerimine. Otsus jõustub järgmisel päeval pärast avaldamist Euroopa Liidu Teatajas või otsuses nimetatud hilisemal kuupäeval. See ei mõjuta juba jõustunud delegeeritud õigusaktide kehtivust.

 

Enne delegeeritud õigusakti vastuvõtmist konsulteerib komisjon kooskõlas 13. aprilli 2016. aasta institutsioonidevahelises parema õigusloome kokkuleppes sätestatud põhimõtetega iga liikmesriigi määratud ekspertidega.

 

Niipea kui komisjon on delegeeritud õigusakti vastu võtnud, teeb ta selle samal ajal teatavaks Euroopa Parlamendile ja nõukogule.

 

Artikli 44 lõike 4 ja artikli 50 a lõike 4 alusel vastu võetud delegeeritud õigusakt jõustub üksnes juhul, kui Euroopa Parlament ega nõukogu ei ole kahe kuu jooksul pärast õigusakti teatavakstegemist Euroopa Parlamendile ja nõukogule esitanud selle suhtes vastuväidet või kui Euroopa Parlament ja nõukogu on enne selle tähtaja möödumist komisjonile teatanud, et nad ei esita vastuväidet. Euroopa Parlamendi või nõukogu algatusel pikendatakse seda tähtaega [kahe kuu] võrra.

NÕUANDVA KOMISJONI MENETLUS

Pealkiri

Määrus, mis käsitleb ENISAt ehk ELi küberturvalisuse ametit, millega tunnistatakse kehtetuks määrus (EL) nr 526/2013 ja mis käsitleb info- ja kommunikatsioonitehnoloogia küberturvalisuse sertifitseerimist („küberturvalisust käsitlev õigusakt“)

Viited

COM(2017)0477 – C8-0310/2017 – 2017/0225(COD)

Vastutav komisjon

istungil teada andmise kuupäev

ITRE

23.10.2017

 

 

 

Arvamuse esitaja(d)

istungil teada andmise kuupäev

IMCO

23.10.2017

Kaasatud komisjonid - istungil teada andmise kuupäev

18.1.2018

Arvamuse koostaja

nimetamise kuupäev

Nicola Danti

25.9.2017

Läbivaatamine parlamendikomisjonis

21.2.2018

21.3.2018

 

 

Vastuvõtmise kuupäev

17.5.2018

 

 

 

Lõpphääletuse tulemus

+:

–:

0:

31

2

1

Lõpphääletuse ajal kohal olnud liikmed

John Stuart Agnew, Pascal Arimont, Dita Charanzová, Carlos Coelho, Anna Maria Corazza Bildt, Daniel Dalton, Nicola Danti, Dennis de Jong, Pascal Durand, Evelyne Gebhardt, Robert Jarosław Iwaszkiewicz, Liisa Jaakonsaari, Marlene Mizzi, Nosheena Mobarik, Jiří Pospíšil, Andreas Schwab, Olga Sehnalová, Jasenko Selimovic, Ivan Štefanec, Catherine Stihler, Mylène Troszczynski, Mihai Ţurcanu, Anneleen Van Bossuyt, Marco Zullo

Lõpphääletuse ajal kohal olnud asendusliikmed

Jan Philipp Albrecht, Kaja Kallas, Arndt Kohn, Emma McClarkin, Adam Szejnfeld, Marc Tarabella, Lambert van Nistelrooij, Kerstin Westphal

Lõpphääletuse ajal kohal olnud asendusliikmed (art 200 lg 2)

Inés Ayala Sender, Flavio Zanonato

NIMELINE LÕPPHÄÄLETUS NÕUANDVAS KOMISJONIS

31

+

ALDE

ECR

EFDD

GUE/NGL

PPE

 

S&D

 

 

Verts/ALE

Dita Charanzová, Kaja Kallas, Jasenko Selimovic

Daniel Dalton, Emma McClarkin, Nosheena Mobarik, Anneleen Van Bossuyt

Marco Zullo

Dennis de Jong

Pascal Arimont, Carlos Coelho, Anna Maria Corazza Bildt, Jiří Pospíšil, Andreas Schwab, Ivan Štefanec, Adam Szejnfeld, Mihai Ţurcanu, Lambert van Nistelrooij

Inés Ayala Sender, Nicola Danti, Evelyne Gebhardt, Liisa Jaakonsaari, Arndt Kohn, Marlene Mizzi, Olga Sehnalová, Catherine Stihler, Marc Tarabella, Kerstin Westphal, Flavio Zanonato

Jan Philipp Albrecht, Pascal Durand

2

EFDD

John Stuart Agnew, Robert Jarosław Iwaszkiewicz

1

0

ENF

Mylène Troszczynski

Kasutatud tähised:

+  :  poolt

–  :  vastu

0  :  erapooletu


EELARVEKOMISJONI ARVAMUS (16.5.2018)

tööstuse, teadusuuringute ja energeetikakomisjonile

ettepaneku kohta võtta vastu Euroopa Parlamendi ja nõukogu määrus, mis käsitleb ENISAt ehk ELi küberturvalisuse ametit, millega tunnistatakse kehtetuks määrus (EL) nr 526/2013 ja mis käsitleb info- ja kommunikatsioonitehnoloogia küberturvalisuse sertifitseerimist („küberturvalisust käsitlev õigusakt“)

(COM(2017)0477 – C8-0310/2017 – 2017/0225(COD))

Arvamuse koostaja: Jens Geier

LÜHISELGITUS

Arvamuse koostaja pooldab üldiselt komisjoni ettepanekut küberturvalisust käsitleva õigusakti kohta, mille eesmärk on veelgi suurendada Euroopa Liidu Võrgu- ja Infoturbeameti (ENISA) rolli, sest küberturvalisuse probleem on selgelt piiriülene ja asjakohane on tugevamalt Euroopale suunatud lähenemisviis. Eelkõige pooldab arvamuse koostaja komisjoni ettepanekut anda ENISA-le alaline mandaat, kuna tema roll on suurenenud ja ameti töötajad vajavad kindlust. Komisjon teeb ettepaneku suurendada palgaastme AD/AST töötajate arvu 2022. aastaks 41 ametikoha võrra(1) ja ameti aastaeelarvet 2022. aastal 23 miljoni euroni(2).

Arvamuse koostaja on seisukohal, et praegune korraldus, mille kohaselt amet asub mitmes kohas (Irákleios ja Ateenas), takistab ameti mandaadi tõhusat täitmist. Ametite ressursse käsitlev institutsioonidevaheline töörühm, mis loodi pärast 2014. aasta eelarve suhtes kokkuleppele jõudmist, soovitab komisjonil viia läbi asutuste mitut asukohta käsitleva hindamise (topeltasukohad, põhiasukohale lisanduvad tehnilised keskused, kohalikud kontorid või töötajate lähetamine peakontorist väljapoole), tuginedes järjepidevale lähenemisviisile ning kasutades selgeid ja läbipaistvaid kriteeriume, eelkõige nende lisaväärtuse hindamiseks, võttes samas arvesse nendega seotud kulusid. Kõik ELi institutsioonid nõustusid selle soovitusega ja arvamuse koostaja on veendunud, et selline hindamine tuleks läbi viia kiiresti. Pärast hindamist peaksid institutsioonid tegema viivitamata vajalikud järeldused.

Lisaks on arvamuse koostaja seisukohal, et ameti mandaati oskusteadmiste andmisel saaks veelgi tugevdada, kui anda ametile eelarve, millest ta saaks ise tellida teadus- ja arendustegevust. Sellise eelarve jaoks tuleks ametile anda vajalikud vahendid.

Täiendav kokkuhoid on võimalik, kui lubada ametil kasutada teistelt teenuseosutajatelt saadud tõlketeenuseid. Demokraatlikku järelevalvet ameti üle saaks tugevdada, nimetades haldusnõukogusse Euroopa Parlamendi esindaja. See oleks kooskõlas ameteid käsitleva ühise lähenemisviisiga.

MUUDATUSETTEPANEKUD

Eelarvekomisjon palub vastutaval tööstuse, teadusuuringute ja energeetikakomisjonil võtta arvesse järgmisi muudatusettepanekuid:

Muudatusettepanek    1

Ettepanek võtta vastu määrus

Põhjendus 3 a (uus)

Komisjoni ettepanek

Muudatusettepanek

 

(3 a)  ENISA peaks pakkuma rohkem infol põhinevat ja praktilist tuge ELi küberjulgeolekutööstusele, eelkõige VKEdele ja idufirmadele, kes on peamised uuenduslike lahenduste loojad küberkaitse valdkonnas, ning peaks edendama tihedamat koostööd ülikoolide teadusorganisatsioonide ja suurte osalejatega, et vähendada sõltuvust liiduväliste tootjate küberjulgeolekutoodetest ja luua liidus strateegiline tarneahel.

Muudatusettepanek    2

Ettepanek võtta vastu määrus

Põhjendus 4

Komisjoni ettepanek

Muudatusettepanek

(4)  Küberründeid tuleb ette üha sagedamini ning küberohtude poolt lihtsamini haavatavat ühendatud majandust ja ühiskonda tuleb jõulisemalt kaitsta. Kuigi küberründed on sageli piiriülesed, on küberturvalisusega tegelevate ametiasutuste reageeringud ja õiguskaitseasutuste pädevus valdavalt riigipõhised. Mastaapsed küberintsidendid võivad katkestada elutähtsate teenuste pakkumise kogu ELis. See tähendab, et ELi tasandil on vaja tõhusat reageerimist ja kriisihaldust, mis tugineks sellekohastele põhimõtetele ning Euroopa solidaarsuse ja vastastikuse abi mitmekülgsetele vahenditele. Seepärast on usaldusväärsetel liidu andmetel põhinev liidu küberturvalisuse ja vastupidavuse olukorra regulaarne hindamine ning nii liidu kui ka maailma tasandi edasiste arengusuundade, väljakutsete ja ohtude süstemaatiline hindamine tähtis nii poliitikakujundajate ja tööstuse kui ka kasutajate jaoks.

(4)  Küberründeid tuleb ette üha sagedamini ning küberohtude poolt lihtsamini haavatavat ühendatud majandust ja ühiskonda tuleb jõulisemalt kaitsta. Kuigi küberründed on sageli piiriülesed, on küberturvalisusega tegelevate ametiasutuste reageeringud ja õiguskaitseasutuste pädevus valdavalt riigipõhised. Mastaapsed küberintsidendid võivad katkestada elutähtsate teenuste pakkumise kogu ELis. See tähendab, et ELi tasandil on vaja tõhusat reageerimist ja kriisihaldust, mis tugineks sellekohastele põhimõtetele ning Euroopa solidaarsuse ja vastastikuse abi mitmekülgsetele vahenditele. Vajadus küberkaitsealaste koolituste järele on märkimisväärne ja suurenev ning kõige tõhusam viis selle rahuldamiseks on liidu tasandi koostöö. Seepärast on usaldusväärsetel liidu andmetel põhinev liidu küberturvalisuse ja vastupidavuse olukorra regulaarne hindamine ning nii liidu kui ka maailma tasandi edasiste arengusuundade, väljakutsete ja ohtude süstemaatiline hindamine tähtis nii poliitikakujundajate ja tööstuse kui ka kasutajate jaoks.

Muudatusettepanek    3

Ettepanek võtta vastu määrus

Põhjendus 10

Komisjoni ettepanek

Muudatusettepanek

(10)  Liikmesriikide esindajad otsustasid Euroopa Ülemkogu 13. detsembri 2003. aasta kohtumisel vastuvõetud otsuses 2004/97/EÜ, Euratom, et ENISA asukohaks saab Kreeka valitsuse määratud linn Kreekas. Ameti asukohaliikmesriik peaks tagama ameti tõrgeteta ja tõhusaks tegevuseks parimad võimalikud tingimused. Ameti ülesannete nõuetekohaseks ja tulemuslikuks täitmiseks, personali värbamiseks ja töölhoidmiseks ning võrgustikuga seotud tegevuse tulemuslikkuse tõhustamiseks peab amet asuma sobivas asukohas, mis muu hulgas pakub asjakohaseid transpordiühendusi ning rajatisi töötajate abikaasade ja laste jaoks. Vajalik kord tuleks sätestada ameti ja asukohaliikmesriigi vahelises kokkuleppes, mis sõlmitakse pärast ameti haldusnõukogu heakskiitu.

(10)  Liikmesriikide esindajad otsustasid Euroopa Ülemkogu 13. detsembri 2003. aasta kohtumisel vastuvõetud otsuses 2004/97/EÜ, Euratom, et ENISA asukohaks saab Kreeka valitsuse määratud linn Kreekas. Ameti asukohaliikmesriik peaks tagama ameti tõrgeteta ja tõhusaks tegevuseks parimad võimalikud tingimused. Ameti ülesannete nõuetekohaseks ja tulemuslikuks täitmiseks, personali värbamiseks ja töölhoidmiseks ning võrgustikuga seotud tegevuse tulemuslikkuse tõhustamiseks peab amet asuma sobivas asukohas, mis muu hulgas pakub asjakohaseid transpordiühendusi ning rajatisi töötajate abikaasade ja laste jaoks. Vajalik kord tuleks sätestada ameti ja asukohaliikmesriigi vahelises kokkuleppes, mis sõlmitakse pärast ameti haldusnõukogu heakskiitu. See kokkulepe tuleks läbi vaadata pärast komisjoni tehtud hindamist, nagu on soovitanud ametite ressursse käsitlev institutsioonidevaheline töörühm, et suurendada ameti tõhusust, ning ameti asukoht tuleks samuti läbi vaadata.

Muudatusettepanek    4

Ettepanek võtta vastu määrus

Põhjendus 12

Komisjoni ettepanek

Muudatusettepanek

(12)  Amet peaks välja kujundama oskusteabe kõrge taseme ja seda hoidma ning tegutsema kontaktüksusena, mis tekitab ühtsel turul usaldust ja kindlustunnet tänu oma sõltumatusele, antud nõu ja levitatava teabe kvaliteedile, menetluste ja töömeetodite läbipaistvusele ning oma ülesannete hoolikale täitmisele. Täites oma ülesandeid täielikus koostöös liidu institutsioonide, organite ja asutuste, aga ka liikmesriikidega, peaks amet andma ennetava panuse riikide ja liidu tegevusse. Lisaks peaks amet arendama edasi erasektorilt saadud sisendit, lähtudes erasektori ja muude asjaomaste sidusrühmadega tehtavast koostööst. Ameti ülesannete kogumiga tuleks paika panna, kuidas amet peab oma eesmärgid saavutama, tagades talle samas tööks vajaliku paindlikkuse.

(12)  Amet peaks välja kujundama oskusteabe kõrge taseme ja seda hoidma ning tegutsema kontaktüksusena, mis tekitab ühtsel turul usaldust ja kindlustunnet tänu oma sõltumatusele, antud nõu ja levitatava teabe kvaliteedile, menetluste ja töömeetodite läbipaistvusele ning oma ülesannete hoolikale täitmisele. Täites oma ülesandeid täielikus koostöös liidu institutsioonide, organite ja asutuste, aga ka liikmesriikidega, peaks amet andma ennetava panuse riikide ja liidu tegevusse, vältides topelttööd, edendades sünergiat ja täiendavust ning saavutades sellega koordineerimise ja eelarvesäästu. Lisaks peaks amet arendama edasi erasektorilt saadud sisendit, lähtudes erasektori ja muude asjaomaste sidusrühmadega tehtavast koostööst. Ameti ülesannete kogumiga tuleks paika panna, kuidas amet peab oma eesmärgid saavutama, tagades talle samas tööks vajaliku paindlikkuse.

Muudatusettepanek    5

Ettepanek võtta vastu määrus

Põhjendus 15 a (uus)

Komisjoni ettepanek

Muudatusettepanek

 

(15 a)  Küberruumi suhtes kohaldatakse rahvusvahelist õigust ja infoturbe valdkonna ÜRO valitsusekspertide rühma (UNGGE) 2013. ja 2015. aasta aruande suunised on asjakohased, eelkõige seoses keeluga, mis ei luba riikidel tegeleda kübertegevusega, mis on vastuolus nende rahvusvahelistest eeskirjadest tulenevate kohustustega, ega sellist tegevust teadlikult toetada. Asjakohane käsiraamat „Tallinn Manual 2.0“ on selles kontekstis suurepärane alus aruteluks selle üle, kuidas rahvusvaheline õigus kehtib küberruumi suhtes, ning on aeg, et liikmesriigid hakkaksid käsiraamatut analüüsima ja kohaldama.

Muudatusettepanek    6

Ettepanek võtta vastu määrus

Põhjendus 36

Komisjoni ettepanek

Muudatusettepanek

(36)  Amet peaks täies ulatuses võtma arvesse tehtavaid teadusuuringuid, arendustegevust ja tehnoloogilisi hindamisi, eelkõige neid, mida tehakse mitmesuguste Euroopa Liidu teadusalgatuste raames, et nõustada liidu institutsioone, organeid ja asutusi ning kui see on asjakohane, liikmesriike nende taotlusel seoses vajadusega teadusuuringute järele võrgu- ja infoturbe, eelkõige küberturvalisuse valdkonnas.

(36)  Amet peaks täies ulatuses võtma arvesse tehtavaid teadusuuringuid, arendustegevust ja tehnoloogilisi hindamisi, eelkõige neid, mida tehakse mitmesuguste Euroopa Liidu teadusalgatuste raames, et nõustada liidu institutsioone, organeid ja asutusi ning kui see on asjakohane, liikmesriike nende taotlusel seoses vajadusega teadusuuringute järele võrgu- ja infoturbe, eelkõige küberturvalisuse valdkonnas. Ametile tuleks anda täiendav eelarve teadus- ja arendustegevuse jaoks, mis täiendavad olemasolevaid liidu teadusprogramme.

Muudatusettepanek    7

Ettepanek võtta vastu määrus

Põhjendus 46 a (uus)

Komisjoni ettepanek

Muudatusettepanek

 

(46 a)  Ameti eelarve tuleks koostada tulemuspõhise eelarvestamise põhimõtte kohaselt, võttes arvesse ameti eesmärke ja ülesannete täitmise oodatavaid tulemusi.

Muudatusettepanek    8

Ettepanek võtta vastu määrus

Artikkel 4 – lõige 4

Komisjoni ettepanek

Muudatusettepanek

4.  Amet edendab liidu tasandil küberturvalisusega seotud küsimuste alast koostööd ja koordineerimist liikmesriikide, liidu institutsioonide, ametite ja asutuste ning asjaomaste sidusrühmade seas, kaasa arvatud erasektoris.

4.  Amet edendab liidu tasandil küberturvalisusega seotud küsimuste alast koostööd ja koordineerimist liikmesriikide, liidu institutsioonide, ametite ja asutuste ning asjaomaste sidusrühmade seas, kaasa arvatud erasektoris, et saavutada koordineerimine ja rahaline kokkuhoid, vältida dubleerimist ja edendada nende tegevuse sünergiat ja vastastikust täiendavust.

Muudatusettepanek    9

Ettepanek võtta vastu määrus

Artikkel 9 – lõik 1 – punkt g a (uus)

Komisjoni ettepanek

Muudatusettepanek

 

(g a)  publitseerib ja propageerib oma tegevust ja oma töö tulemusi, et suurendada kodanike hulgas nähtavust ja teadlikkust.

Muudatusettepanek    10

Ettepanek võtta vastu määrus

Artikkel 10 – punkt b a (uus)

Komisjoni ettepanek

Muudatusettepanek

 

(b a)  tellib oma teadustegevust huvivaldkondades, mis ei ole olemasolevate liidu teadusprogrammidega veel hõlmatud, kui on olemas selgelt määratletud Euroopa lisaväärtus.

Muudatusettepanek    11

Ettepanek võtta vastu määrus

Artikkel 13 – lõige 1

Komisjoni ettepanek

Muudatusettepanek

1.  Haldusnõukogusse kuulub igast liikmesriigist üks esindaja ning kaks komisjoni määratud esindajat. Kõigil esindajatel on hääleõigus.

1.  Haldusnõukogusse kuulub igast liikmesriigist üks esindaja, üks Euroopa Parlamendi määratud esindaja ning kaks komisjoni määratud esindajat. Kõigil esindajatel on hääleõigus.

Muudatusettepanek    12

Ettepanek võtta vastu määrus

Artikkel 26 – lõige 1 – lõik 1 (uus)

Komisjoni ettepanek

Muudatusettepanek

 

Tulude ja kulude esialgse eelarvestuse projekt põhineb artikli 21 lõikes 1 osutatud ühtse programmdokumendi eesmärkidel ja oodatavatel tulemustel ning selles võetakse arvesse kõnealuste eesmärkide ja oodatavate tulemuste saavutamiseks vajalikke finantsressursse tulemuspõhise eelarvestamise põhimõtte kohaselt.

Muudatusettepanek    13

Ettepanek võtta vastu määrus

Artikkel 36 – lõige 5

Komisjoni ettepanek

Muudatusettepanek

5.  Teenistujate vastutust ameti ees reguleerivad ameti töötajate suhtes kohaldatavad sätted.

5.  Teenistujate vastutust ameti ees reguleerivad ameti töötajate suhtes kohaldatavad sätted. Tagatakse töötajate tõhus töölevõtmine.

Muudatusettepanek    14

Ettepanek võtta vastu määrus

Artikkel 37 – lõige 2

Komisjoni ettepanek

Muudatusettepanek

2.  Ameti toimimiseks vajalikke tõlketeenuseid osutab Euroopa Liidu Asutuste Tõlkekeskus.

2.  Ameti toimimiseks vajalikke tõlketeenuseid osutab Euroopa Liidu Asutuste Tõlkekeskus või osutavad muud tõlketeenuse osutajad kooskõlas hanke-eeskirjadega ning asjakohastes finantseeskirjades ette nähtud piirides.

Muudatusettepanek    15

Ettepanek võtta vastu määrus

Artikkel 41 – lõige 2

Komisjoni ettepanek

Muudatusettepanek

2.  Ameti asukohaliikmesriik tagab ametile parimad võimalikud tegutsemistingimused, et tagada ameti nõuetekohane toimimine, sealhulgas asukoha ligipääsetavus, sobivate haridusasutuste olemasolu töötajate laste jaoks, laste ja abikaasade piisav juurdepääs tööturule, sotsiaalkindlustusele ja arstiabile.

2.  Ameti asukohaliikmesriik tagab ametile parimad võimalikud tegutsemistingimused, et tagada ameti nõuetekohane toimimine, sealhulgas üks asukoht kogu ameti jaoks, asukoha ligipääsetavus, sobivate haridusasutuste olemasolu töötajate laste jaoks, laste ja abikaasade piisav juurdepääs tööturule, sotsiaalkindlustusele ja arstiabile.

Selgitus

Ameti praegune struktuur (administratsioon Irákleios ja põhitegevus Ateenas) on osutunud ebatõhusaks ja kulukaks. Seepärast peaksid kõik ENISA töötajad töötama ühes linnas. Käesolevas lõikes nimetatud kriteeriumide põhjal peaks see asukoht olema Ateenas.

Muudatusettepanek    16

Ettepanek võtta vastu määrus

Artikkel 41 – lõige 2 a (uus)

Komisjoni ettepanek

Muudatusettepanek

 

2 a.  Pärast komisjoni hinnangut vastavalt ametite ressursse käsitleva institutsioonidevahelise töörühma soovitustele muudetakse ameti peakorterilepingut ja ameti asukoht vaadatakse vastavalt läbi.

NÕUANDVA KOMISJONI MENETLUS

Pealkiri

Määrus, mis käsitleb ENISAt ehk ELi küberturvalisuse ametit, millega tunnistatakse kehtetuks määrus (EL) nr 526/2013 ja mis käsitleb info- ja kommunikatsioonitehnoloogia küberturvalisuse sertifitseerimist („küberturvalisust käsitlev õigusakt“)

Viited

COM(2017)0477 – C8-0310/2017 – 2017/0225(COD)

Vastutav komisjon

istungil teada andmise kuupäev

ITRE

23.10.2017

 

 

 

Arvamuse esitaja(d)

istungil teada andmise kuupäev

BUDG

23.10.2017

Arvamuse koostaja

nimetamise kuupäev

Jens Geier

26.9.2017

Läbivaatamine parlamendikomisjonis

21.3.2018

 

 

 

Vastuvõtmise kuupäev

16.5.2018

 

 

 

Lõpphääletuse tulemus

+:

–:

0:

22

4

0

Lõpphääletuse ajal kohal olnud liikmed

Nedzhmi Ali, Jean Arthuis, Reimer Böge, Lefteris Christoforou, Gérard Deprez, Manuel dos Santos, André Elissen, José Manuel Fernandes, Eider Gardiazabal Rubial, Jens Geier, Esteban González Pons, Ingeborg Gräßle, Iris Hoffmann, John Howarth, Bernd Kölmel, Vladimír Maňka, Liadh Ní Riada, Jan Olbrycht, Răzvan Popa, Jordi Solé, Isabelle Thomas, Inese Vaidere, Marco Zanni, Stanisław Żółtek

Lõpphääletuse ajal kohal olnud asendusliikmed

Ivana Maletić, Andrey Novakov

NIMELINE LÕPPHÄÄLETUS NÕUANDVAS KOMISJONIS

22

+

ALDE

Nedzhmi Ali, Jean Arthuis, Gérard Deprez

ECR

Bernd Kölmel

PPE

Reimer Böge, Lefteris Christoforou, José Manuel Fernandes, Esteban González Pons, Ingeborg Gräßle, Ivana Maletić, Andrey Novakov, Jan Olbrycht, Inese Vaidere

S&D

Eider Gardiazabal Rubial, Jens Geier, Iris Hoffmann, John Howarth, Vladimír Maňka, Răzvan Popa, Isabelle Thomas, Manuel dos Santos

Verts/ALE

Jordi Solé

4

ENF

André Elissen, Marco Zanni, Stanisław Żółtek

GUE/NGL

Liadh Ní Riada

0

0

Kasutatud tähised:

+  :  poolt

–  :  vastu

0  :  erapooletu

(1)

See hõlmab 26 AD-töötajat, 6 AST-töötajat ja 9 riikide lähetatud eksperti. See ei hõlma vastutava peadirektoraadi hinnangulist vajadust, lepingulisi töötajaid ega välistöövõtjaid.

(2)

Hinnang, ilma et see piiraks ELi rahastamist pärast 2020. aastat.


KODANIKUVABADUSTE, JUSTIITS- JA SISEASJADE KOMISJONI ARVAMUS (16.3.2018)

tööstuse, teadusuuringute ja energeetikakomisjonile

mis käsitleb ettepanekut võtta vastu Euroopa Parlamendi ja nõukogu määrus, mis käsitleb ENISAt ehk ELi küberturvalisuse ametit, millega tunnistatakse kehtetuks määrus (EL) nr 526/2013 ja mis käsitleb info- ja kommunikatsioonitehnoloogia küberturvalisuse sertifitseerimist („küberturvalisust käsitlev õigusakt“)

(COM(2017)0477 – C8-0310/2017 – 2017/0225(COD))

Arvamuse koostaja: Jan Philipp Albrecht

LÜHISELGITUS

Arvamuse koostaja väljendab heameelt komisjoni ettepaneku üle võtta vastu küberturvalisust käsitlev õigusakt(1), kuna selles määratakse paremini kindlaks ENISA roll muutunud IT-turvalisuse keskkonnas ja töötatakse välja IT-turvalisuse standardeid, sertifitseerimist ja märgistamist käsitlevad meetmed, et parandada IKT-põhiste süsteemide, sealhulgas ühendatud seadmete turvalisust.

Arvamuse koostaja arvates on siiski võimalik seda veel parandada. Arvamuse koostaja on veendunud, et infoturvalisus on ELi põhiõiguste hartas sätestatud kodanike põhiõiguste kaitsmise, aga ka küberkuritegevuse vastase võitluse ning demokraatia ja õigusriigi põhimõtte kaitsmise seisukohast äärmiselt oluline.

Põhiõigused: Ebaturvalised süsteemid võivad tuua kaasa andmetega seotud rikkumisi või identiteedipettust, mis võivad põhjustada üksikisikutele tegelikku kahju ja kannatusi, sealhulgas ohtu nende elule, eraelu puutumatusele, väärikusele või varale. Näiteks tunnistajaid võidakse hirmutada ja tekitada neile füüsilist kahju või naised võivad sattuda koduvägivalla ohvriks, kui nende koduaadress avalikustatakse. Selliste asjade interneti puhul, millel on lisaks anduritele ka füüsilised ajamid, võib isikute füüsiline puutumatus ja elu olla ohus infosüsteemide vastu suunatud rünnete tõttu. Arvamuse koostaja muudatusettepanekud keskenduvad eelkõige ELi põhiõiguste harta artiklite 1, 2, 3, 6, 7, 8, 11 ja 17 kaitsmisele. Kujunemas on isegi konstitutsiooniline kohtupraktika, milles tuletatakse üldistest isiklikest õigustest konkreetne „põhiõigus infotehnoloogiasüsteemide konfidentsiaalsusele ja terviklusele“(2), mida on kohandatud praegusele digitaalsele maailmale.

Küberkuritegevuse vastane võitlus: Mõned internetis toime pandavate kuritegude vormid, nagu andmepüügi ründed või finants- ja pangapettused, hõlmavad sellist usalduse kuritarvitamist, mille vastu IT-turvalisuse meetmetega võidelda ei saa – seoses nende kuritegude vormide vastu võitlemisega peab arvamuse koostaja kiiduväärseks kavandatud korrapäraseid lõppkasutajatele suunatud üldsuse harimise ja teavituskampaaniaid, mida ENISA korraldab. Muude internetikuritegevuse vormide hulka kuuluvad infosüsteemidevastased ründed, nagu häkkimine või hajusad teenusetõkestusründed – seoses nende kuritegude vormidega on arvamuse koostaja arvamusel, et IT-turvalisuse tugevdamine tõhustab nendevastast võitlust ja eriti küberkuritegevuse ennetamist.

Demokraatia ja õigusriik: Valitsuste ja valitsusväliste osalejate IT-süsteemide vastased ründed kujutavad endast selget ja üha suurenevat ohtu demokraatiale vabadesse ja ausatesse valimistesse sekkumise tõttu, näiteks muutes fakte ja arvamusi, mis mõjutavad kodanike hääletamist, sekkudes hääletusprotsessi ja muutes hääletustulemusi või vähendades usaldust hääletuse aususe vastu.

Seepärast teeb arvamuse koostaja oma LIBE-komisjoni arvamuse projektis ettepaneku muuta komisjoni ettepanekut, keskendudes järgmistele LIBE-komisjoni jaoks olulistele teemadele:

•  ametil peaks olema suurem roll, et edendada ennetavate tugevate eraelu puutumatust soodustavate tehnoloogiate ja IT-turvalisuse meetmete kasutuselevõttu kõigi Euroopa infoühiskonna osaliste poolt;

•  amet peaks esitama poliitikameetmed, millega kehtestatakse selged kohustused ja vastutusalad kõigile sidusrühmadele, kes osalevad IKT ökosüsteemides, kus võib IT-turvalisuse nõuetekohase hoolsuse kohaldamata jätmine mõjutada tõsiselt ohutust, tekitada keskkonnas väga suurt kahju või põhjustada süsteemset finants- või majanduskriisi;

•  amet peaks IT-turvalisuse ekspertidega konsulteerides esitama selged ja kohustuslikud IT-turvalisuse põhinõuded;

•  amet peaks esitama IT-turvalisuse sertifitseerimissüsteemi, mis võimaldaks IKT valdkonna müüjatel suurendada tarbijatele läbipaistvust uuendatavuse ja tarkvara toetamise aja suhtes. Selline sertifitseerimissüsteem peab olema dünaamiline, sest turvalisus on protsess, mis vajab pidevat täiustamist;

•  amet peaks muutma sisseprojekteeritud turvalisuse põhimõtete rakendamise IKT toodete tootjatele suuniste koostamise ja parimate tavade levitamise abil lihtsamaks ja odavamaks;

•  amet peaks liidu institutsioonide, organite ja asutuste ning liikmesriikide taotlusel korraldama korrapäraselt nende elutähtsa taristu ennetavaid IT-turvalisuse auditeid (auditeerimisõigus);

•  amet peaks viivitamata teatama IT-turvalisuse nõrkustest, mis ei ole tootjatele veel avalikult teada. Amet ei tohiks varjata ega kasutada ära äriühingute ja toodete avalikustamata nõrkusi enda huvides. Kui valitsusasutused arendavad, ostavad ja kasutavad maksumaksjate raha eest IT-süsteemide tagauksi, seavad nad ohtu kodanike turvalisuse. Et kaitsta teisi sidusrühmi, kes käsitlevad selliseid nõrkusi vastutustundlikult, peaks amet esitama poliitikameetmed vastutustundliku teabevahetuse tagamiseks nullpäevade ja muud liiki turvanõrkuste kohta, mis ei ole veel avalikult teada, et hõlbustada nõrkuste kõrvaldamist;

•  et EL saaks kolmandate riikide IT-turvalisuse sektoritele järele jõuda, peaks amet kindlaks määrama ja algatama ELi pikaajalise IT-turvalisuse projekti, mis on samavõrd ulatuslik kui see, mida on tehtud Airbusi projektiga lennundussektori jaoks.

Komisjoni ettepanekus tuleks vältida termini „küberturvalisus“ kasutamist, sest see on õiguslikult ebamäärane ja võib põhjustada ebakindlust. Arvamuse koostaja teeb ettepaneku asendada termin „küberturvalisus“ terminiga „IT-turvalisus“, et parandada õiguskindlust.

MUUDATUSETTEPANEKUD

Kodanikuvabaduste, justiits- ja siseasjade komisjon palub vastutaval tööstuse, teadusuuringute ja energeetikakomisjonil võtta arvesse järgmisi muudatusettepanekuid:

Muudatusettepanek    1

Ettepanek võtta vastu määrus

Pealkiri

Komisjoni ettepanek

Muudatusettepanek

EUROOPA PARLAMENDI JA NÕUKOGU MÄÄRUS,

EUROOPA PARLAMENDI JA NÕUKOGU MÄÄRUS,

mis käsitleb ENISAt ehk ELi küberturvalisuse ametit, millega tunnistatakse kehtetuks määrus (EL) nr 526/2013 ja mis käsitleb info- ja kommunikatsioonitehnoloogia küberturvalisuse sertifitseerimist („küberturvalisust käsitlev õigusakt“)

mis käsitleb ENISAt ehk Euroopa Liidu Võrgu- ja Infoturbeametit, millega tunnistatakse kehtetuks määrus (EL) nr 526/2013 ja mis käsitleb info- ja kommunikatsioonitehnoloogia IT-turvalisuse sertifitseerimist („IT-turvalisust käsitlev õigusakt“)

 

(Muudatusettepanekut kohaldatakse kogu teksti ulatuses.)

Selgitus

Eesliidet küber-, mis on pärit 1960ndate aastate teadusulme teostest, on üha enam kasutatud interneti negatiivsete tahkude kirjeldamiseks (küberrünne, küberkuritegevus jms), kuid see on õiguslikult väga ebamäärane. Arvamuse koostaja teeb ettepaneku asendada õiguskindluse tagamiseks termin „küberturvalisus“ terminiga „IT-turvalisus“.

Muudatusettepanek    2

Ettepanek võtta vastu määrus

Põhjendus 2

Komisjoni ettepanek

Muudatusettepanek

2.  Võrgu- ja infosüsteemide kasutamine kogu liidu kodanike, ettevõtjate ja valitsusasutuste seas on nüüd valdav. Digiteeritus ja ühenduvus on muutumas üha suurema hulga toodete ja teenuste põhitunnusteks ning asjade interneti kasutuselevõtuga võib eeldada, et järgmise kümne aasta jooksul võetakse kogu ELis kasutusele miljoneid kui mitte miljardeid ühendatud digitaalseid seadmeid. Kuigi internetti ühendatud seadmete arv kasvab, ei ole turvalisus ja vastupidavus neisse piisavalt sisse projekteeritud ning see toob kaasa ebapiisava küberturvalisuse. Sellises olukorras tähendab sertifitseerimise piiratud kasutamine, et organisatsioonidest ja eraisikutest kasutajatel ei ole IKT toodete ja teenuste küberturvalisuse omaduste kohta piisavalt teavet ning see vähendab usaldust digilahenduste vastu.

(2)  Võrgu- ja infosüsteemide kasutamine kogu liidu kodanike, ettevõtjate ja valitsusasutuste seas on nüüd valdav. Digiteeritus ja ühenduvus on muutumas üha suurema hulga toodete ja teenuste põhitunnusteks ning asjade interneti kasutuselevõtuga võib eeldada, et järgmise kümne aasta jooksul võetakse kogu ELis kasutusele miljoneid kui mitte miljardeid ühendatud digitaalseid seadmeid. Kuigi internetti ühendatud seadmete arv kasvab, ei ole turvalisus ja vastupidavus neisse piisavalt sisse projekteeritud ning see toob kaasa ebapiisava IT-turvalisuse. Sellises olukorras tähendab sertifitseerimise piiratud ja killustatud kasutamine, et organisatsioonidest ja eraisikutest kasutajatel ei ole IKT toodete ja teenuste IT-turvalisuse omaduste kohta piisavalt teavet ning see vähendab usaldust digilahenduste vastu. IKT võrkudele on rajatud kõik digitaaltooted ja -teenused, mis omakorda võivad toetada kodanike elu kõiki aspekte ja viia edasi Euroopa majanduskasvu. Et tagada digitaalse ühtse turu eesmärkide täielik täitmine, peavad olema oma kohal olulised tehnoloogilised ehitusplokid, millest sõltuvad tähtsad valdkonnad, nagu e-tervis, asjade internet, tehisintellekt, kvanttehnoloogia ning intelligentsed transpordisüsteemid ja kõrgtehnoloogilised tootmissüsteemid.

Muudatusettepanek    3

Ettepanek võtta vastu määrus

Põhjendus 4

Komisjoni ettepanek

Muudatusettepanek

(4)  Küberründeid tuleb ette üha sagedamini ning küberohtude poolt lihtsamini haavatavat ühendatud majandust ja ühiskonda tuleb jõulisemalt kaitsta. Kuigi küberründed on sageli piiriülesed, on küberturvalisusega tegelevate ametiasutuste reageeringud ja õiguskaitseasutuste pädevus valdavalt riigipõhised. Mastaapsed küberintsidendid võivad katkestada elutähtsate teenuste pakkumise kogu ELis. See tähendab, et ELi tasandil on vaja tõhusat reageerimist ja kriisihaldust, mis tugineks sellekohastele põhimõtetele ning Euroopa solidaarsuse ja vastastikuse abi mitmekülgsetele vahenditele. Seepärast on usaldusväärsetel liidu andmetel põhinev liidu küberturvalisuse ja vastupidavuse olukorra regulaarne hindamine ning nii liidu kui ka maailma tasandi edasiste arengusuundade, väljakutsete ja ohtude süstemaatiline hindamine tähtis nii poliitikakujundajate ja tööstuse kui ka kasutajate jaoks.

(4)  Küberründeid tuleb ette üha sagedamini ning küberohtude poolt lihtsamini haavatavat ühendatud majandust ja ühiskonda tuleb jõulisemalt ja turvalisemalt kaitsta. Kuigi küberründed on sageli piiriülesed, on IT-turvalisusega tegelevate ametiasutuste reageeringud ja õiguskaitseasutuste pädevus valdavalt riigipõhised. Mastaapsed küberintsidendid võivad katkestada elutähtsate teenuste pakkumise kogu ELis. See tähendab, et ELi tasandil on vaja tõhusat reageerimist ja kriisihaldust, mis tugineks sellekohastele põhimõtetele ning Euroopa solidaarsuse ja vastastikuse abi mitmekülgsetele vahenditele. Seepärast on usaldusväärsetel liidu andmetel põhinev liidu IT-turvalisuse ja vastupidavuse olukorra regulaarne hindamine ning nii liidu kui ka maailma tasandi edasiste arengusuundade, väljakutsete ja ohtude süstemaatiline hindamine tähtis nii poliitikakujundajate ja tööstuse kui ka kasutajate jaoks.

Muudatusettepanek    4

Ettepanek võtta vastu määrus

Põhjendus 5

Komisjoni ettepanek

Muudatusettepanek

(5)  Arvestades, et liitu ähvardavad küberturvalisuse probleemid kasvavad, on vaja igakülgset meetmete kogumit, mis toetuks liidu varasemale tegevusele ja edendaks üksteist vastastikku tugevdavaid eesmärke. Siia hulka kuulub vajadus veelgi suurendada liikmesriikide ja ettevõtjate suutlikkust ja valmisolekut ning parandada koostööd ja koordineerimist liikmesriikide ja ELi institutsioonide, asutuste ja organite vahel. Küberohud ei hooli riigipiiridest ja seepärast tuleb suurendada liidu tasandi suutlikkust, et see täiendaks liikmesriikide meetmeid eeskätt mastaapsete piiriüleste küberintsidentide ja -kriiside korral. Rohkem tuleb ära teha ka selleks, et suurendada kodanike ja ettevõtjate teadlikkust küberturvalisuse küsimustest. Ühtlasi tuleks veelgi suurendada usaldust digitaalse ühtse turu vastu ning pakkuda selleks läbipaistvat teavet IKT toodete ja teenuste turvalisuse tasemete kohta. Sellele saab kaasa aidata kogu ELi hõlmava sertifitseerimisega, mis tagab ühised küberturvalisuse nõuded ja hindamiskriteeriumid liikmesriikide turgudel ja sektorites.

(5)  Arvestades, et liitu ähvardavad IT-turvalisuse probleemid kasvavad, on vaja igakülgset meetmete kogumit, mis toetuks liidu varasemale tegevusele ja edendaks üksteist vastastikku tugevdavaid eesmärke. Siia hulka kuulub vajadus veelgi suurendada liikmesriikide ja ettevõtjate suutlikkust ja valmisolekut ning parandada koostööd ja koordineerimist liikmesriikide ja ELi institutsioonide, asutuste ja organite vahel. Küberohud ei hooli riigipiiridest ja seepärast tuleb suurendada liidu tasandi suutlikkust, et see täiendaks liikmesriikide meetmeid eeskätt mastaapsete piiriüleste küberintsidentide ja -kriiside korral. Rohkem tuleb ära teha ka selleks, et ELi tasandil koordineeritult reageerida ning suurendada kodanike ja ettevõtjate teadlikkust IT-turvalisuse küsimustest. Ühtlasi tuleks veelgi suurendada usaldust digitaalse ühtse turu vastu ning pakkuda selleks läbipaistvat teavet IKT toodete ja teenuste turvalisuse tasemete kohta. Sellele saab kaasa aidata kogu ELi hõlmava sertifitseerimisega, mis tagab ühised IT-turvalisuse nõuded ja hindamiskriteeriumid liikmesriikide turgudel ja sektorites. Kogu liitu hõlmava sertifitseerimise kõrval on vastavalt tootele, teenusele, kasutusele või standardile ka mitmeid turul üldiselt aktsepteeritavaid vabatahtlikke meetmeid. Julgustada tuleks nende meetmete kasutuselevõtmist ning tööstuse alt üles lähenemisviisi, sealhulgas sisseprojekteeritud turbe kasutamist, kasude võimendamist ja rahvusvaheliste standardite väljatöötamisele kaasa aitamist.

Muudatusettepanek    5

Ettepanek võtta vastu määrus

Põhjendus 7

Komisjoni ettepanek

Muudatusettepanek

(7)  Euroopa Liit on juba astunud olulisi samme, et tagada küberturvalisus ja suurendada usaldust digitehnoloogia vastu. 2013. aastal võeti vastu ELi küberjulgeoleku strateegia, millest juhinduda liidu poliitilises reageerimises küberturvalisuse ohtudele ja riskidele. Et eurooplasi veebis paremini kaitsta, võttis liit 2016. aastal vastu küberturvalisuse valdkonna esimese õigusakti – direktiivi (EL) 2016/1148 meetmete kohta, millega tagada võrgu- ja infosüsteemide turvalisuse ühtlaselt kõrge tase kogu liidus (edaspidi „võrgu- ja infoturbe direktiiv“). Võrgu- ja infoturbe direktiiviga pandi paika riikide suutlikkust puudutavad nõuded küberturvalisuse valdkonnas, kehtestati liikmesriikide vahelise strateegilise ja operatiivkoostöö edendamise esimesed mehhanismid ning juurutati turbemeetmete ja intsidentidest teatamise kohustused majanduse ja ühiskonna jaoks eluliselt tähtsates sektorites, nagu energeetika, transport, veevarustus, pangandus, finantsturutaristud, tervishoid, digitaristu, aga ka oluliste digitaalsete teenuste osutajate puhul (otsingumootorid, pilvandmetöötlusteenused ja internetipõhised kauplemiskohad). ENISA-le anti selle direktiivi rakendamise toetamisel põhiroll. Võitlus küberkuritegevusega on olulisel kohal ka Euroopa julgeoleku tegevuskavas, kus see aitab kaasa küberturvalisuse kõrge taseme saavutamise üldeesmärgile.

(7)  Euroopa Liit on juba astunud olulisi samme, et tagada IT-turvalisus ja suurendada usaldust digitehnoloogia vastu. 2013. aastal võeti vastu ELi küberjulgeoleku strateegia, millest juhinduda liidu poliitilises reageerimises IT-turvalisuse ohtudele ja riskidele. Et eurooplasi veebis paremini kaitsta, võttis liit 2016. aastal vastu IT-turvalisuse valdkonna esimese õigusakti – direktiivi (EL) 2016/1148 meetmete kohta, millega tagada võrgu- ja infosüsteemide turvalisuse ühtlaselt kõrge tase kogu liidus (edaspidi „võrgu- ja infoturbe direktiiv“). Võrgu- ja infoturbe direktiiviga viiakse ellu digitaalse ühtse turu strateegiat ning pannakse koos muude õigusaktidega, nagu direktiiv .../... [millega kehtestatakse Euroopa elektroonilise side seadustik], Euroopa Parlamendi ja nõukogu määrus (EL) 2016/6791a ning Euroopa Parlamendi ja nõukogu direktiiv 2002/58/EÜ1b, paika riikide suutlikkust puudutavad nõuded IT-turvalisuse valdkonnas, kehtestati liikmesriikide vahelise strateegilise ja operatiivkoostöö edendamise esimesed mehhanismid ning juurutati turbemeetmete ja intsidentidest teatamise kohustused majanduse ja ühiskonna jaoks eluliselt tähtsates sektorites, nagu energeetika, transport, veevarustus, pangandus, finantsturutaristud, tervishoid, digitaristu, aga ka oluliste digitaalsete teenuste osutajate puhul (otsingumootorid, pilvandmetöötlusteenused ja internetipõhised kauplemiskohad). ENISA-le anti selle direktiivi rakendamise toetamisel põhiroll. Võitlus küberkuritegevusega on olulisel kohal ka Euroopa julgeoleku tegevuskavas, kus see aitab kaasa IT-turvalisuse kõrge taseme saavutamise üldeesmärgile.

 

_______________

 

1a Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määrus (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus) (ELT L 119, 4.5.2016, lk 1).

 

1b Euroopa Parlamendi ja nõukogu 12. juuli 2002. aasta direktiiv 2002/58/EÜ, milles käsitletakse isikuandmete töötlemist ja eraelu puutumatuse kaitset elektroonilise side sektoris (eraelu puutumatust ja elektroonilist sidet käsitlev direktiiv) (EÜT L 201, 31.7.2002, lk 37).

Muudatusettepanek    6

Ettepanek võtta vastu määrus

Põhjendus 8

Komisjoni ettepanek

Muudatusettepanek

(8)  Tuleb tõdeda, et 2013. aasta küberjulgeoleku strateegia vastuvõtmisest ja ameti mandaadi viimasest läbivaatamisest möödunud aja jooksul on üldine poliitiline kontekst oluliselt muutunud, seda ka seoses ebakindlama ja vähem turvalise üldise õhustikuga maailmas. Sellist olukorda arvestades on vaja liidu uue küberturvalisuse poliitika raames läbi vaadata ENISA mandaat, et määrata kindlaks ameti roll muutunud küberturvalisuse tingimustes ning tagada, et see annab tulemusliku panuse sellesse, kuidas liit reageerib põhjalikult muutnud ohtude maastikul esile kerkivatele küberturvalisuse probleemidele, millega toimetulemiseks ei ole praegune mandaat ameti hinnangul piisav.

(8)  Tuleb tõdeda, et 2013. aasta küberjulgeoleku strateegia vastuvõtmisest ja ameti mandaadi viimasest läbivaatamisest möödunud aja jooksul on üldine poliitiline kontekst oluliselt muutunud, seda ka seoses ebakindlama ja vähem turvalise üldise õhustikuga maailmas. Sellist olukorda arvestades on vaja liidu uue IT-turvalisuse poliitika raames läbi vaadata ENISA mandaat, et määrata kindlaks ameti roll muutunud IT-turvalisuse tingimustes ning tagada, et see on juhtivad positsioonil, parandades tulemuslikult seda, kuidas liit reageerib põhjalikult muutnud ohtude maastikul esile kerkivatele IT-turvalisuse probleemidele, millega toimetulemiseks ei ole praegune mandaat ameti hinnangul piisav.

Muudatusettepanek    7

Ettepanek võtta vastu määrus

Põhjendus 11

Komisjoni ettepanek

Muudatusettepanek

(11)  Arvestades liidu ees seisvate küberturvalisusega seotud probleemide kasvu, tuleks suurendada ametile eraldatavaid finants- ja inimressursse, et need vastaksid ameti tõhustatud rollile ja ülesannetele ning ameti tähtsale positsioonile Euroopa digitaalse ökosüsteemi kaitsmisel.

(11)  Arvestades liidu ees seisvate IT-turvalisusega seotud probleemide kasvu, tuleks suurendada ametile eraldatavaid finants- ja inimressursse, et need vastaksid ameti tõhustatud rollile ja ülesannetele ning ameti tähtsale positsioonile Euroopa digitaalse ökosüsteemi kaitsmisel. Nõuetekohast tähelepanu tuleks pöörata ameti suutlikkuse edasisele suurendamisele.

Selgitus

On oluline, et me ületaksime ameti piiratud suutlikkuse probleemi. Peame samuti püüdma sätestada ameti edasise arengu, arvestades, kui elutähis küberturvalisus on täna ja kui tähtsaks see muutub tulevikus, arvestades Venemaa sekkumist valimistesse, maailma supervõimude ja riikide üha suuremat suutlikkust ning peamiste sektorite möödapääsmatut digiteerimist.

Muudatusettepanek    8

Ettepanek võtta vastu määrus

Põhjendus 11 a (uus)

Komisjoni ettepanek

Muudatusettepanek

 

(11 a)  IT-turvalisuse valdkonna probleemid on digitaalajastul sageli tihedalt seotud andmekaitse, eraelu kaitse ja elektroonilise side kaitse valdkonna probleemidega. Et ametil oleks võimalik nende probleemidega nõuetekohaselt tegeleda, peaks lahutamatu osa ameti tegevusest moodustama tihe koostöö ja sage konsulteerimine Euroopa Parlamendi ja nõukogu määruse (EÜ) nr 45/20011a, määruse (EL) 2016/679, direktiivi (EL) 2016/680 ja määruse (EL) nr 1211/2009 alusel loodud organitega, samuti tööstuse ja kodanikuühiskonnaga.

 

________________

 

1a Euroopa Parlamendi ja nõukogu 18. detsembri 2000. aasta määrus (EÜ) nr 45/2001 üksikisikute kaitse kohta isikuandmete töötlemisel ühenduse institutsioonides ja asutustes ning selliste andmete vaba liikumise kohta (ELT L 8, 12.1.2001, lk 1).

Muudatusettepanek    9

Ettepanek võtta vastu määrus

Põhjendus 12

Komisjoni ettepanek

Muudatusettepanek

(12)  Amet peaks välja kujundama oskusteabe kõrge taseme ja seda hoidma ning tegutsema kontaktüksusena, mis tekitab ühtsel turul usaldust ja kindlustunnet tänu oma sõltumatusele, antud nõu ja levitatava teabe kvaliteedile, menetluste ja töömeetodite läbipaistvusele ning oma ülesannete hoolikale täitmisele. Täites oma ülesandeid täielikus koostöös liidu institutsioonide, organite ja asutuste, aga ka liikmesriikidega, peaks amet andma ennetava panuse riikide ja liidu tegevusse. Lisaks peaks amet arendama edasi erasektorilt saadud sisendit, lähtudes erasektori ja muude asjaomaste sidusrühmadega tehtavast koostööst. Ameti ülesannete kogumiga tuleks paika panna, kuidas amet peab oma eesmärgid saavutama, tagades talle samas tööks vajaliku paindlikkuse.

(12)  Amet peaks välja kujundama oskusteabe kõrge taseme ja seda hoidma ning tegutsema kontaktüksusena, mis tekitab ühtsel turul usaldust ja kindlustunnet tänu oma sõltumatusele, antud nõu ja levitatava teabe kvaliteedile, menetluste ja töömeetodite läbipaistvusele ning oma ülesannete hoolikale täitmisele. Täites oma ülesandeid täielikus koostöös liidu institutsioonide, organite ja asutuste, aga ka liikmesriikidega, peaks amet andma ennetava panuse riikide ja liidu tegevusse. Lisaks peaks amet arendama edasi erasektorilt saadud sisendit, lähtudes erasektori ja muude asjaomaste sidusrühmadega tehtavast koostööst. Tuleks arusaadavalt kindlaks määrata selge tegevuskava ning ameti täidetavate ülesannete ja eesmärkide kogum, pöörates samas nõuetekohast tähelepanu talle tööks vajalikule paindlikkusele. Võimaluse korral tuleks säilitada kõrgeim läbipaistvuse ja teabe levitamise tase.

Muudatusettepanek    10

Ettepanek võtta vastu määrus

Põhjendus 14

Komisjoni ettepanek

Muudatusettepanek

(14)  Ameti põhiülesanne on toetada asjakohase õigusraamistiku järjepidevat rakendamist, eelkõige võrgu- ja infoturbe direktiivi tulemuslikku rakendamist, mis on kübervastupidavusvõime suurendamise jaoks eluliselt tähtis. Arvestades seda, kui kiiresti küberturvalisuse ohud muutuvad, on selge, et liikmesriike tuleb toetada igakülgsema ja eri valdkondi hõlmava poliitilise lähenemisega kübervastupidavusvõime loomisele.

(14)  Ameti põhiülesanne on toetada asjakohase õigusraamistiku järjepidevat rakendamist, eelkõige võrgu- ja infoturbe direktiivi, direktiivi .../... [Euroopa elektroonilise side seadustiku kehtestamise direktiivi], määruse (EL) nr 2016/679 ja direktiivi 2002/58/EÜ tulemuslikku rakendamist, mis on kübervastupidavusvõime suurendamise jaoks eluliselt tähtis. Arvestades seda, kui kiiresti IT-turvalisuse ohud muutuvad, on selge, et liikmesriike tuleb toetada igakülgsema ja eri valdkondi hõlmava poliitilise lähenemisega kübervastupidavusvõime loomisele.

Muudatusettepanek    11

Ettepanek võtta vastu määrus

Põhjendus 21 a (uus)

Komisjoni ettepanek

Muudatusettepanek

 

(21 a)  Komisjon peaks tegema ettepaneku liikmesriikide vahel kohustusliku koostöö loomiseks seoses elutähtsa teabetaristu kaitsega.

Muudatusettepanek    12

Ettepanek võtta vastu määrus

Põhjendus 26

Komisjoni ettepanek

Muudatusettepanek

(26)  Et küberturvalisuse valdkonna probleemidest paremini aru saada ning liikmesriikidele ja liidu institutsioonidele pikaajalist strateegilist nõu anda, peab amet analüüsima praeguseid ja kujunemisjärgus riske. Sel eesmärgil peaks amet koostöös liikmesriikidega ja vajaduse korral ka statistikaasutuste ja muude asutustega koguma asjakohast teavet ning analüüsima kujunemisjärgus tehnoloogiaid ja andma teemakohaseid hinnanguid võrgu- ja infoturbe, eeskätt küberturvalisuse tehnoloogiliste uuenduste eeldatavale ühiskondlikule, õiguslikule, majanduslikule ja regulatiivsele mõjule. Peale selle peaks amet toetama ohtude ja intsidentide analüüsimise kaudu liikmesriike ja liidu institutsioone, organeid ja asutusi esilekerkivate suundumuste kindlakstegemisel ja küberturvalisusega seotud probleemide vältimisel.

(26)  Et IT-turvalisuse valdkonna probleemidest paremini aru saada ning liikmesriikidele ja liidu institutsioonidele pikaajalist strateegilist nõu anda, peab amet analüüsima praeguseid ja kujunemisjärgus riske, intsidente ja nõrkusi. Sel eesmärgil peaks amet koostöös liikmesriikidega ja vajaduse korral ka statistikaasutuste ja muude asutustega koguma asjakohast teavet ning analüüsima kujunemisjärgus tehnoloogiaid ja andma teemakohaseid hinnanguid võrgu- ja infoturbe, eeskätt IT-turvalisuse tehnoloogiliste uuenduste eeldatavale ühiskondlikule, õiguslikule, majanduslikule ja regulatiivsele mõjule. Peale selle peaks amet toetama ohtude, intsidentide ja nõrkuste analüüsimise kaudu liikmesriike ja liidu institutsioone, organeid ja asutusi esilekerkivate suundumuste kindlakstegemisel ja IT-turvalisusega seotud probleemide vältimisel.

Muudatusettepanek    13

Ettepanek võtta vastu määrus

Põhjendus 28

Komisjoni ettepanek

Muudatusettepanek

(28)  Amet peaks aitama suurendada üldsuse teadlikkust küberturvalisusega seotud riskidest ja jagama kodanikele ja organisatsioonidele mõeldud juhiseid individuaalsete kasutajate heade tavade kohta; Amet peaks aitama kaasa ka parimate tavade ja lahenduste propageerimisele üksikisikute ja organisatsioonide tasandil; selleks tuleks koguda ja analüüsida avalikult kättesaadavat teavet oluliste intsidentide kohta ning koostada aruanded, et pakkuda ettevõtjatele ja kodanikele juhiseid ning parandada valmisoleku ja vastupidavuse üldist taset. Amet peaks korraldama koostöös liikmesriikide ja liidu institutsioonide, organite, asutuste ja ametitega korrapäraseid lõppkasutajatele suunatud üldsuse harimise ja teavituskampaaniaid, mille eesmärk on propageerida üksikisikute ohutumat veebikäitumist ja suurendada teadlikkust küberkeskkonnas varitseda võivatest ohtudest, sealhulgas sellistest küberkuritegudest nagu andmepüügi rünnakud, robotvõrgud, finants- ja pangapettused, ning tutvustada autentimise ja andmekaitse alaseid elementaarseid nõuandeid. Ametil peaks olema keskne roll selles, et lõppkasutajad saaksid kiiremini teadlikuks seadmete turvalisusest.

(28)  Amet peaks aitama suurendada üldsuse teadlikkust IT-turvalisusega seotud riskidest ja jagama kodanikele ja organisatsioonidele mõeldud juhiseid individuaalsete kasutajate heade tavade kohta; Et suurendada üldist valmisolekut ja vastupidavust, peaks amet aitama kaasa ka parimate tavade ja lahenduste propageerimisele üksikisikute ja organisatsioonide tasandil; selleks tuleks koguda ja analüüsida avalikult kättesaadavat teavet oluliste intsidentide kohta ning koostada aruanded, et pakkuda juhiseid ettevõtjatele, kodanikele ning liidu ja riikide tasandi asjaomastele asutustele. Amet peaks korraldama koostöös liikmesriikide ja liidu institutsioonide, organite, asutuste ja ametitega korrapäraseid lõppkasutajatele suunatud üldsuse harimise ja teavituskampaaniaid. Need kampaaniad peaksid edendama IT-turvalisuse alast haridust ja üksikisikute ohutumat veebikäitumist ning suurendama teadlikkust küberkeskkonnas varitseda võivatest ohtudest, sealhulgas sellistest küberkuritegudest nagu andmepüügi rünnakud, robotvõrgud, finants- ja pangapettused, võltsimine ja ebaseaduslik sisu, samuti edendama andmekaitset ja põhiautentimist, et hoida ära andme- ja identiteedivargust. Ametil peaks olema keskne roll selles, et lõppkasutajad saaksid kiiremini teadlikuks seadmete turvalisusest.

Muudatusettepanek    14

Ettepanek võtta vastu määrus

Põhjendus 28 a (uus)

Komisjoni ettepanek

Muudatusettepanek

 

(28 a)  Amet peaks suurendama üldsuse teadlikkust andmetega seotud pettuste ja varguste riskidest, mis võivad oluliselt kahjustada isiku põhiõigusi, ohustada õigusriiki ja demokraatlike ühiskondade stabiilsust, sealhulgas demokraatlikke protsesse liikmesriikides,

Muudatusettepanek    15

Ettepanek võtta vastu määrus

Põhjendus 30

Komisjoni ettepanek

Muudatusettepanek

(30)  Tagamaks, et amet saavutab oma eesmärgid täies ulatuses, peaks ta suhtlema asjaomaste institutsioonide, organite ja asutustega, kelle hulgas on CERT-EU, Europoli juures tegutsev küberkuritegevuse vastase võitluse Euroopa keskus (EC3), Euroopa Kaitseagentuur (EDA), Vabadusel, Turvalisusel ja Õigusel Rajaneva Ala Suuremahuliste IT-süsteemide Operatiivjuhtimise Euroopa Amet (eu-LISA), Euroopa Lennundusohutusamet (EASA) ja mistahes muud ELi ametid, kes tegelevad küberturvalisusega. Peale selle peaks ta suhtlema veel andmekaitsega tegelevate ametiasutustega, et vahetada oskusteavet ja parimaid tavasid ning anda nõu küberturvalisuse aspektide kohta, mis võiksid mõjutada nende tööd. Riikide ja liidu õiguskaitseasutuste ja andmekaitseasutuste esindajad peaksid olema esindatud ameti alalises sidusrühmas. Õiguskaitseasutustega koostöö tegemisel võrgu- ja infoturbe küsimustes, mis võivad nende tööd mõjutada, peaks amet arvestama olemasolevate teabekanalite ja rajatud võrgustikega.

(30)  Tagamaks, et amet saavutab oma eesmärgid täies ulatuses, peaks ta suhtlema asjaomaste institutsioonide, organite ja asutustega, kelle hulgas on CERT-EU, Europoli juures tegutsev küberkuritegevuse vastase võitluse Euroopa keskus (EC3), Euroopa Kaitseagentuur (EDA), Vabadusel, Turvalisusel ja Õigusel Rajaneva Ala Suuremahuliste IT-süsteemide Operatiivjuhtimise Euroopa Amet (eu-LISA), Euroopa Lennundusohutusamet (EASA), Euroopa GNSSi Agentuuri (GSA) ja mistahes muud ELi ametid, kes tegelevad IT-turvalisusega. Peale selle peaks ta suhtlema veel liidu ja liikmesriikide andmekaitsega tegelevate ametiasutustega, et vahetada oskusteavet ja parimaid tavasid ning anda nõu IT-turvalisuse aspektide kohta, mis võiksid mõjutada nende tööd. Riikide ja liidu õiguskaitseasutuste ja andmekaitseasutuste esindajad peaksid olema esindatud ameti alalises sidusrühmas. Õiguskaitseasutustega koostöö tegemisel võrgu- ja infoturbe küsimustes, mis võivad nende tööd mõjutada, peaks amet arvestama olemasolevate teabekanalite ja rajatud võrgustikega.

Selgitus

Kuna Galileo programmis, eriti selle maismaa segmentides, käsitletakse küberturvalisuse aspekte, tugevdab koostöö Euroopa GNSSi Agentuuriga ENISA rolli, parandades samal ajal Galileo programmi usaldusväärsust.

Muudatusettepanek    16

Ettepanek võtta vastu määrus

Põhjendus 35

Komisjoni ettepanek

Muudatusettepanek

(35)  Amet peaks innustama liikmesriike ja teenusepakkujaid tõstma oma üldisi turbestandardeid, et kõik internetikasutajad saaksid võtta vajalikud meetmed oma isikliku küberturvalisuse tagamiseks. Eelkõige peaksid tootjad ja teenuseosutajad võtma tagasi või taaskasutusse tooted ja teenused, mis ei vasta küberturvalisuse standarditele. Koostöös pädevate asutustega võib ENISA jagada teavet siseturul pakutavate toodete ja teenuste küberturvalisuse taseme kohta ning avaldada teenusepakkujatele ja tootjatele suunatud hoiatusi, milles nõutakse nende toodete ja teenuste turvalisuse, sealhulgas küberturvalisuse parandamist.

(35)  Amet peaks innustama liikmesriike, riistvara ja tarkvara tootjaid ning IKT ja veebiteenusepakkujaid tõstma oma üldisi turbestandardeid, et kõik internetikasutajad saaksid võtta vajalikud meetmed oma isikliku IT-turvalisuse tagamiseks. Eelkõige peaksid tootjad ja teenuseosutajad võtma tagasi või taaskasutusse tooted ja teenused, mis ei vasta IT-turvalisuse standarditele. Koostöös pädevate asutustega võib ENISA jagada teavet siseturul pakutavate toodete ja teenuste IT-turvalisuse taseme kohta ning avaldada teenusepakkujatele ja tootjatele suunatud hoiatusi, milles nõutakse nende toodete ja teenuste turvalisuse, sealhulgas IT-turvalisuse parandamist. Amet peaks koostöös sidusrühmadega töötama välja üleliidulise lähenemisviisi nõrkade kohtade vastutustundlikuks avaldamiseks ning edendama selles valdkonnas parimaid tavasid.

Muudatusettepanek    17

Ettepanek võtta vastu määrus

Põhjendus 44

Komisjoni ettepanek

Muudatusettepanek

(44)  Ametil peaks olema nõuandva organina alaline sidusrühm, mis tagaks regulaarse dialoogi erasektori, tarbijate organisatsioonide ja teiste asjaomaste sidusrühmadega. Tegevdirektori ettepanekul haldusnõukogu asutatud alaline sidusrühm peaks keskenduma sidusrühmade jaoks olulistele küsimustele ja juhtima neile ameti tähelepanu. Alalise sidusrühma koosseis ja ülesanded (eelkõige tuleb rühmaga konsulteerida tööprogrammi projekti üle) peaksid tagama sidusrühmade piisava esindatuse ameti töös.

(44)  Ametil peaks olema nõuandva organina alaline sidusrühm, mis tagaks regulaarse dialoogi erasektori, tarbijate organisatsioonide ja teiste asjaomaste sidusrühmadega. Tegevdirektori ettepanekul haldusnõukogu asutatud alaline sidusrühm peaks keskenduma sidusrühmade jaoks olulistele küsimustele ja juhtima neile ameti tähelepanu. Alalise sidusrühma koosseis ja ülesanded (eelkõige tuleb rühmaga konsulteerida tööprogrammi projekti üle) peaksid tagama sidusrühmade piisava esindatuse ameti töös. Arvestades, kui tähtsad on sertifitseerimise nõuded, et tagada usaldus asjade interneti vastu, peaks komisjon eelkõige kaaluma rakendusmeetmeid, et tagada asjade interneti seadmete turvastandardite ühtlustamine kogu liidus.

Muudatusettepanek    18

Ettepanek võtta vastu määrus

Põhjendus 50

Komisjoni ettepanek

Muudatusettepanek

(50)  Praegu kasutatakse IKT toodete ja teenuste küberturvalisuse sertifitseerimist ainult piiratud ulatuses. Kui sertifitseerimine on olemas, siis peamiselt liikmesriigi tasandil või tööstusest lähtuvate kavade raames. Sellistes tingimustes ei tunnusta teised liikmesriigid üldiselt ühe riigi IT-turvalisuse asutuse poolt välja antud sertifikaati. Seega võib juhtuda, et ettevõtted peavad sertifitseerima oma tooted ja teenused mitmes liikmesriigis, kus nad tegutsevad, näiteks et osaleda riiklikes hankemenetlustes. Lisaks sellele paistab, et kuigi on tekkimas uusi kavasid, ei ole ühtset ja terviklikku lähenemisviisi küberturvalisuse horisontaalsetele küsimustele, näiteks asjade interneti valdkonnas. Olemasolevatel kavadel on märkimisväärseid puudujääke ning erinevusi tootehõlmavuses, usaldusväärsuse tasemetes, sisulistes kriteeriumides ja tegelikus kasutamises.

(50)  Praegu kasutatakse IKT toodete ja teenuste IT-turvalisuse sertifitseerimist ainult piiratud ulatuses. Kui sertifitseerimine on olemas, siis peamiselt liikmesriigi tasandil või tööstusest lähtuvate kavade raames. Sellistes tingimustes ei tunnusta teised liikmesriigid üldiselt ühe riigi IT-turvalisuse asutuse poolt välja antud sertifikaati. Seega võib juhtuda, et ettevõtted peavad sertifitseerima oma tooted ja teenused mitmes liikmesriigis, kus nad tegutsevad, näiteks et osaleda riiklikes hankemenetlustes, ja need menetlused võivad tuua ettevõtetele lisakulu. Lisaks sellele paistab, et kuigi on tekkimas uusi kavasid, ei ole ühtset ja terviklikku lähenemisviisi IT-turvalisuse horisontaalsetele küsimustele, näiteks asjade interneti valdkonnas. Olemasolevatel kavadel on märkimisväärseid puudujääke ning erinevusi tootehõlmavuses, usaldusväärsuse tasemetes, sisulistes kriteeriumides ja tegelikus kasutamises. Vaja on iga juhtumit käsitlevat lähenemisviisi, mis aitaks tagada, et teenustele ja toodetele kohaldatakse asjakohast sertifitseerimise kava. Peale selle on vaja riskipõhist lähenemisviisi, et riske tõhusalt avastada ja leevendada ning vältida kulude kasvu tootjate jaoks.

Muudatusettepanek    19

Ettepanek võtta vastu määrus

Põhjendus 52

Komisjoni ettepanek

Muudatusettepanek

(52)  Eelnevat arvestades on vaja luua Euroopa küberturvalisuse sertifitseerimise raamistik, milles kehtestatakse välja töötatavate Euroopa küberturvalisuse sertifitseerimise kavade peamised horisontaalsed nõuded ning mis võimaldab tunnustada ja kasutada IKT toodete ja teenuste sertifikaate kõigis liikmesriikides. Euroopa raamistikul peaks olema kaks eesmärki: ühest küljest peaks see aitama suurendada usaldust nende kavade kohaselt sertifitseeritud IKT toodete ja teenuste vastu. Teisest küljest peaks see vältima üksteisele vastukäivate või kattuvate riiklike küberturvalisuse sertifikaatide paljusust ja seeläbi vähendama digitaalsel ühtsel turul tegutsevate ettevõtjate kulusid. Kavad peaksid olema mittediskrimineerivad ning põhinema rahvusvahelistel ja/või ELi standarditel, välja arvatud juhul, kui need standardid on ebatõhusad või ebasobivad ELi õiguspäraste eesmärkide saavutamiseks selles valdkonnas.

(52)  Eelnevat arvestades on vaja luua ühtlustatud Euroopa IT-turvalisuse sertifitseerimise raamistik, milles kehtestatakse välja töötatavate Euroopa IT-turvalisuse sertifitseerimise kavade peamised horisontaalsed nõuded ning mis võimaldab tunnustada ja kasutada IKT toodete ja teenuste sertifikaate kõigis liikmesriikides. Euroopa raamistikul peaks olema kaks eesmärki: ühest küljest peaks see aitama suurendada usaldust nende kavade kohaselt sertifitseeritud IKT toodete ja teenuste vastu. Teisest küljest peaks see vältima üksteisele vastukäivate või kattuvate riiklike IT-turvalisuse sertifikaatide paljusust ja seeläbi vähendama digitaalsel ühtsel turul tegutsevate ettevõtjate kulusid. Kavad peaksid olema mittediskrimineerivad ning põhinema rahvusvahelistel ja/või ELi standarditel, välja arvatud juhul, kui need standardid on ebatõhusad või ebasobivad ELi õiguspäraste eesmärkide saavutamiseks selles valdkonnas.

Muudatusettepanek    20

Ettepanek võtta vastu määrus

Põhjendus 55

Komisjoni ettepanek

Muudatusettepanek

(55)  Euroopa küberturvalisuse sertifitseerimise kavade eesmärk on kinnitada, et sellise kava kohaselt sertifitseeritud IKT tooted ja teenused vastavad kirjeldatud nõuetele. Nimetatud nõuded puudutavad võimet pidada teataval usaldusväärsuse tasemel vastu tegevustele, mille eesmärk on rikkuda salvestatud, edastatud või töödeldud andmete või nende toodete, protsesside, teenuste ja süsteemide asjaomaste funktsioonide või nende poolt pakutavate või nende kaudu juurdepääsetavate teenuste käideldavust, autentsust, terviklust või konfidentsiaalsust käesoleva määruse tähenduses. Käesolevas määruses ei ole võimalik üksikasjalikult kirjeldada kõigi IKT toodete ja teenuste suhtes kohaldatavaid küberturvalisuse nõudeid. IKT tooted ja teenused ning nendega seotud küberturvalisuse vajadused on nii mitmekesised, et on väga raske esitada üldiseid küberturvalisuse nõudeid, mis kehtiksid kõikjal. Seetõttu on vaja sertifitseerimise eesmärgil võtta kasutusele lai ja üldine küberturvalisuse mõiste, mida täiendab rida konkreetseid küberturvalisuse eesmärke, mida tuleb Euroopa küberturvalisuse sertifitseerimise kavade koostamisel arvesse võtta. Nende eesmärkide saavutamise meetodid konkreetsete IKT toodete ja teenuste puhul tuleks täpsustada üksikasjalikult igas individuaalses sertifitseerimiskavas, mille komisjon vastu võtab, näiteks viidates standarditele või tehnilistele kirjeldustele.

(55)  Euroopa IT-turvalisuse sertifitseerimise kavade eesmärk on kinnitada, et sellise kava kohaselt sertifitseeritud IKT tooted ja teenused vastavad kirjeldatud nõuetele. Nimetatud nõuded puudutavad võimet pidada teataval usaldusväärsuse tasemel vastu tegevustele, mille eesmärk on rikkuda salvestatud, edastatud või töödeldud andmete või nende toodete, protsesside, teenuste ja süsteemide asjaomaste funktsioonide või nende poolt pakutavate või nende kaudu juurdepääsetavate teenuste käideldavust, autentsust, terviklust või konfidentsiaalsust käesoleva määruse tähenduses. Käesolevas määruses ei ole võimalik üksikasjalikult kirjeldada kõigi IKT toodete ja teenuste suhtes kohaldatavaid IT-turvalisuse nõudeid. IKT tooted ja teenused ning nendega seotud IT-turvalisuse vajadused ja nende olelusring on nii mitmekesised, et on väga raske esitada üldiseid IT-turvalisuse nõudeid, mis kehtiksid kõikjal. Seetõttu on vaja sertifitseerimise eesmärgil võtta kasutusele lai ja üldine IT-turvalisuse mõiste, mida täiendab rida konkreetseid IT-turvalisuse eesmärke, mida tuleb Euroopa IT-turvalisuse sertifitseerimise kavade koostamisel arvesse võtta. Nende eesmärkide saavutamise meetodid konkreetsete IKT toodete ja teenuste puhul tuleks täpsustada üksikasjalikult igas individuaalses sertifitseerimiskavas, mille komisjon liikmesriikide ja tööstuse sidusrühmadega tihedalt konsulteerides vastu võtab, näiteks viidates standarditele või tehnilistele kirjeldustele. Üksikud sertifitseerimiskavad peaksid olema koostatud selliselt, et kõiki asjaomaste IT toodete ja teenuste väljatöötamises osalevaid pooli innustataks välja arendama ja kohaldama standardeid, norme ja põhimõtteid, mis tagavad kogu olelusringi jooksul kõrgeima võimaliku turvalisuse taseme.

Muudatusettepanek    21

Ettepanek võtta vastu määrus

Põhjendus 55 a (uus)

Komisjoni ettepanek

Muudatusettepanek

 

(55 a)  ENISA peaks välja töötama üleilmse perspektiiviga sertifitseerimiskava, et vältida tulevasi kaubandustõkkeid. Sertifitseerimiskava kriteeriumide väljatöötamisel peaks ENISA astuma dialoogi sektori asjaomaste partneritega, et tagada nende kriteeriumide täidetavus turul.

Muudatusettepanek    22

Ettepanek võtta vastu määrus

Põhjendus 56

Komisjoni ettepanek

Muudatusettepanek

(56)  Komisjonile tuleks anda volitused paluda ENISA-l koostada ettevalmistav sertifitseerimiskava konkreetsete IKT toodete ja teenuste jaoks. Seejärel tuleks anda komisjonile volitused võtta ENISA esitatud ettevalmistava kava põhjal rakendusaktidega vastu Euroopa küberturvalisuse sertifitseerimise kava. Võttes arvesse käesolevas määruses määratletud üldeesmärki ja turvalisusega seotud eesmärke, tuleks komisjoni poolt vastu võetud Euroopa küberturvalisuse sertifitseerimise kavades täpsustada konkreetse kava sisu, ulatuse ja toimimise minimaalsed üksikasjad. Need peaksid hõlmama muu hulgas küberturvalisuse sertifikaadi ulatust ja sisu, sealhulgas hõlmatud IKT toodete ja teenuste kategooriad, küberturvalisuse nõuete üksikasjalik kirjeldus, näiteks viide standarditele või tehnilistele kirjeldustele, konkreetsed hindamiskriteeriumid ja -meetodid ning kavandatud usaldusväärsuse tase: baastase, märkimisväärne ja/või kõrge tase

(56)  Komisjonile tuleks anda volitused paluda ENISA-l koostada ettevalmistav sertifitseerimiskava konkreetsete IKT toodete ja teenuste jaoks. Seejärel tuleks anda komisjonile volitused võtta ENISA esitatud ettevalmistava kava põhjal rakendusaktidega vastu Euroopa IT-turvalisuse sertifitseerimise kava. Võttes arvesse käesolevas määruses määratletud üldeesmärki ja turvalisusega seotud eesmärke, tuleks komisjoni poolt vastu võetud Euroopa IT-turvalisuse sertifitseerimise kavades täpsustada konkreetse kava sisu, ulatuse ja toimimise minimaalsed üksikasjad. Need peaksid hõlmama muu hulgas IT-turvalisuse sertifikaadi ulatust ja sisu, sealhulgas hõlmatud IKT toodete ja teenuste kategooriad, IT-turvalisuse nõuete üksikasjalik kirjeldus, näiteks viide standarditele või tehnilistele kirjeldustele, konkreetsed hindamiskriteeriumid ja -meetodid ning kavandatud usaldusväärsuse tase: baastase, märkimisväärne ja/või kõrge tase. Usaldusväärsuse tasemed tuleks määratleda iga juhtumi korral eraldi, mis aitaks tagada, et IKT teenustele ja toodetele kohaldatakse asjakohast sertifitseerimise kava, ning arvesse tuleks võtta ka erinevaid individuaalse kasutuse juhtumeid ja kasutajate endi vastutust ja haridust.

Muudatusettepanek    23

Ettepanek võtta vastu määrus

Põhjendus 57

Komisjoni ettepanek

Muudatusettepanek

(57)  Euroopa küberturvalisuse sertifitseerimise kasutamine peaks jääma vabatahtlikuks, kui liidu või siseriiklikes õigusaktides pole sätestatud teisiti. Käesoleva määruse eesmärkide saavutamiseks ja siseturu killustumise vältimiseks tuleks siiski lõpetada riiklike küberturvalisuse sertifitseerimise kavade või menetluste kohaldamine Euroopa küberturvalisuse sertifitseerimise kavaga hõlmatud IKT toodete ja teenuste suhtes alates kuupäevast, mille komisjon on rakendusaktiga kehtestanud. Lisaks ei peaks liikmesriigid kehtestama uusi riiklikke küberturvalisuse sertifitseerimise kavasid IKT toodetele ja teenustele, mis on juba kaetud kehtiva Euroopa küberturvalisuse sertifitseerimise kavaga.

(57)  Euroopa IT-turvalisuse sertifitseerimise kasutamine peaks jääma vabatahtlikuks, kui liidu või siseriiklikes õigusaktides pole sätestatud teisiti. Pärast seda algetappi ning sõltuvalt rakendamise küpsusest liikmesriikides ning toote või teenuse olulisusest, võidakse edaspidi teatud IKT toodete ja teenuste jaoks tehnoloogia tulevaste põlvkondade puhul ja tuleviku poliitika eesmärkide ellu viimiseks järk-järgult välja areneda kohustuslikke sertifitseerimise kavasid. Käesoleva määruse eesmärkide saavutamiseks ja siseturu killustumise vältimiseks tuleks siiski lõpetada riiklike IT-turvalisuse sertifitseerimise kavade või menetluste kohaldamine Euroopa IT-turvalisuse sertifitseerimise kavaga hõlmatud IKT toodete ja teenuste suhtes alates kuupäevast, mille komisjon on rakendusaktiga kehtestanud. Lisaks ei peaks liikmesriigid kehtestama uusi riiklikke IT-turvalisuse sertifitseerimise kavasid IKT toodetele ja teenustele, mis on juba kaetud kehtiva Euroopa IT-turvalisuse sertifitseerimise kavaga.

Muudatusettepanek    24

Ettepanek võtta vastu määrus

Põhjendus 58 a (uus)

Komisjoni ettepanek

Muudatusettepanek

 

(58 a)  Amet peaks kõigi liidus müüdavate või liidust eksporditavate IT-seadmete jaoks välja töötama selged ja kohustuslikud IT-turvalisuse põhinõuded ning vajaduse korral tuleks need esitada rakendusaktidena komisjonile. Need nõuded tuleks iga kahe aasta järel läbi vaadata, et tagada nende pidev parandamine. Nendes IT-turvalisuse põhinõuetes tuleks muu hulgas nõuda, et seadmel ei oleks ühtegi teadaolevat turvanõrkust, et see suudab vastu võtta usaldusväärsed turvauuendused, et müüja teavitab pädevaid asutusi teadaolevatest nõrkustest ning parandab või asendab kahjustatud seadme, kuni tootja on teatanud, et sellise seadme turvalisuse toetamine lõppeb.

Muudatusettepanek    25

Ettepanek võtta vastu määrus

Artikkel 1 – lõik 1 – punkt b

Komisjoni ettepanek

Muudatusettepanek

(b)  sätestatakse Euroopa küberturvalisuse sertifitseerimise kavade kehtestamise raamistik, et kindlustada liidus IKT toodete ja teenuste küberturvalisuse piisav tase. Sellise raamistiku kohaldamine ei piira konkreetseid sätteid, mis puudutavad muudes liidu õigusaktides kirjeldatud vabatahtlikku või kohustuslikku sertifitseerimist.

(b)  sätestatakse Euroopa IT-turvalisuse sertifitseerimise kavade kehtestamise raamistik, et kindlustada liidus IKT toodete ja teenuste IT-turvalisuse piisav tase. Sellise raamistiku kohaldamine ei piira konkreetseid sätteid, mis puudutavad muudes liidu õigusaktides kirjeldatud vabatahtlikku või kohustuslikku sertifitseerimist.

Selgitus

Üksnes keeleline muudatusettepanek, millega eemaldatakse komisjoni tekstis esinev kordus.

Muudatusettepanek    26

Ettepanek võtta vastu määrus

Artikkel 2 – lõik 1 – punkt 8

Komisjoni ettepanek

Muudatusettepanek

(8)  „küberoht“ – mistahes võimalik asjaolu või sündmus, mis võib kahjustada võrgu- ja infosüsteeme, nende kasutajaid ja mõjutatud isikuid.

(8)  „küberoht“ – mis tahes võimalik asjaolu, suutlikkus või sündmus, mis võib kahjustada võrgu- ja infosüsteeme, nende kasutajaid ja mõjutatud isikuid.

Selgitus

Lisatakse oluline aspekt, eriti seoses ohu hindamisega.

Muudatusettepanek    27

Ettepanek võtta vastu määrus

Artikkel 4 – lõige 3 – lõik 1 a (uus)

Komisjoni ettepanek

Muudatusettepanek

 

Amet püüab kindlaks teha nii kogu liidu kui ka üksikute liikmesriikide IT-turvavõrgu kriitilised nõrkused. Kui amet peab seda vajalikuks, tuleks nendest nõrkustest teavitada Euroopa Parlamenti.

Muudatusettepanek    28

Ettepanek võtta vastu määrus

Artikkel 4 – lõige 5

Komisjoni ettepanek

Muudatusettepanek

5.  Amet suurendab liidu tasandil küberturvalisuse alast suutlikkust, et täiendada liikmesriikide tegevust küberohtude ennetamisel ja neile reageerimisel, seda eeskätt piiriüleste intsidentide puhul.

5.  Amet suurendab liidu tasandi IT-turvalisuse alast suutlikkust, et täiendada ja toetada liikmesriikide tegevust küberohtude ennetamisel ja neile reageerimisel, seda eeskätt piiriüleste intsidentide puhul.

Muudatusettepanek    29

Ettepanek võtta vastu määrus

Artikkel 4 – lõige 6

Komisjoni ettepanek